Layanan penyimpanan awan Dropbox telah berbagi detail tentang bagaimana itu berhasil ditargetkan oleh a pengelabuan kampanye di mana aktor ancaman meniru integrasi kode dan platform pengiriman lingkaranCI untuk mengakses salah satunya GitHub akun dan kompromi kode dan data.

Informasi yang diakses termasuk kunci API digunakan oleh pengembang Dropbox, dan data termasuk nama dan alamat email dari sejumlah karyawan, pelanggan, prospek penjualan, dan vendor yang sangat terbatas, digambarkan dalam ribuan.

GitHub sebelumnya telah memperingatkan terhadap kampanye phishing serupa di mana aktor ancaman menyamar sebagai CircleCI dalam umpan phishing mereka.

“Tidak ada konten, kata sandi, atau informasi pembayaran siapa pun yang diakses, dan masalah ini diselesaikan dengan cepat,” kata juru bicara Dropbox. “Aplikasi dan infrastruktur inti kami juga tidak terpengaruh, karena akses ke kode ini bahkan lebih terbatas dan dikontrol secara ketat.

“Kami percaya risiko bagi pelanggan minimal. Pelaku ancaman ini sama sekali tidak memiliki akses ke konten akun Dropbox siapa pun, kata sandi mereka, atau informasi pembayaran mereka.”

Perusahaan menambahkan: “Kami menganggap serius komitmen kami untuk melindungi privasi pelanggan, mitra, dan karyawan kami, dan meskipun kami yakin risiko apa pun terhadap mereka minimal, kami telah memberi tahu mereka yang terkena dampak.”

Pelanggaran itu terungkap pada pertengahan Oktober ketika sejumlah “Dropboxer” menerima email yang tampaknya berasal dari CircleCI, yang digunakan oleh Dropbox untuk “pilih penerapan internal”. Beberapa dari email ini dicegat dan dikarantina, tetapi yang lain berhasil melewati jaring cyber Dropbox.

Email tersebut mengarahkan penerimanya untuk mengunjungi halaman login CircleCI palsu, memasukkan nama pengguna dan kata sandi GitHub mereka, dan kemudian menggunakan kunci otentikasi perangkat keras mereka, untuk mengirimkan kata sandi satu kali ke situs jahat. Dalam satu contoh, aktor ancaman berhasil, dan dari sana dapat menyalin 130 repositori kode.

GitHub memberi tahu Dropbox pada 14 Oktober, dan pelaku ancaman dikeluarkan pada hari yang sama, setelah itu tim keamanan Dropbox mengambil tindakan cepat untuk merotasi kredensial yang terbuka dan menentukan data apa yang diakses.

Hingga saat ini, investigasi dan pemantauannya, dengan dukungan tim forensik siber pihak ketiga, tidak menemukan bukti penyalahgunaan data yang terungkap.

“Kami tahu tidak mungkin bagi manusia untuk mendeteksi setiap godaan phishing,” kata perusahaan tersebut. “Bagi banyak orang, mengklik tautan dan membuka lampiran adalah bagian mendasar dari pekerjaan mereka. Bahkan profesional yang paling skeptis dan waspada dapat menjadi mangsa pesan yang dibuat dengan hati-hati yang disampaikan dengan cara yang benar pada waktu yang tepat. Inilah tepatnya mengapa phishing tetap sangat efektif – dan mengapa kontrol teknis tetap menjadi perlindungan terbaik terhadap serangan semacam ini. Saat ancaman tumbuh lebih canggih, kontrol ini menjadi semakin penting.

“Tim keamanan kami bekerja tanpa lelah untuk menjaga Dropbox tetap layak mendapatkan kepercayaan pelanggan kami. Meskipun informasi yang diakses oleh pelaku ancaman ini terbatas, kami berpegang pada standar yang lebih tinggi. Kami mohon maaf jika kami gagal, dan mohon maaf atas ketidaknyamanan ini.”

Sebagai akibat dari serangan dunia maya, Dropbox sekarang dipahami untuk mengedepankan adopsi WebOtentikasi untuk manajemen kredensial, yang digambarkan sebagai “standar emas” otentikasi multi-faktor (MFA). Itu sudah memulai mengadopsi WebAuthn MFA sebelum serangan, dan menawarkannya kepada pelanggan jika diinginkan.

“Phishing terus tumbuh dalam popularitas di kalangan peretas karena langkah-langkah keamanan lainnya meningkat sementara itu tetap efektif dan murah,” kata Martin Jartelius, kepala petugas keamanan di Pos terdepan24.

“Ada beberapa hal yang dapat dilakukan untuk menghindari ancaman spesifik tersebut, termasuk menggunakan pengelola kata sandi yang terintegrasi dengan browser di mana pengelola kata sandi tidak akan memiliki domain yang cocok dan karenanya tidak mengirimkan kata sandi dalam kasus phishing, atau penggunaan YubiKeys yang memvalidasi klaim identitas situs untuk faktor kedua dengan efek yang sama.”

Jartelius menambahkan: “Apa yang dapat kami catat di sini adalah bahwa meskipun pengguna yang terpengaruh memiliki akses ke repo yang tersedia untuk sebagian besar pengembang di organisasi, ini tidak termasuk repositori produk inti. Bagian yang kurang bagus adalah bahwa data pribadi staf dan mitra disimpan di repositori git. Mudah-mudahan, ini hanya terkait dengan informasi kontak yang relevan dengan pengembang, tetapi dari informasi yang dirilis ini tidak sepenuhnya jelas.”

Sam Curry, kepala petugas keamanan di Cybereasonmengatakan peran utama Dropbox sebagai “pengumpul data super” menjadikannya target yang menarik dan berpotensi sangat menguntungkan bagi pelaku ancaman, yang menempatkan tanggung jawab pada Dropbox untuk membuat dirinya lebih sulit diserang.

“Bahkan jika mereka melakukan keamanan dengan lebih baik, mereka harus melakukannya jauh lebih baik daripada perusahaan normal dengan ukuran dan pendapatan mereka untuk menghindari menjadi korban,” kata Curry.

“Tampaknya dari luar melihat ke dalam bahwa Dropbox mengetahui kelemahan mereka sendiri dan memiliki rencana yang mereka percepat untuk meningkatkan keamanan identitas dan memperkuat otentikasi dan otorisasi.

“Saran saya adalah terus berjalan, cari satu titik kegagalan, setransparan mungkin pasca-insiden, perbarui penilaian risiko, dapatkan pelajaran itu, terus bertindak dengan mempertimbangkan pelanggan dan mitra terlebih dahulu dan terutama. Sejarah akan melihat Anda sebagai pahlawan atau penjahat, tidak pernah menjadi korban, jadi buatlah keputusan untuk menjadi pahlawan.”