У киберпреступников оказался доступ к большому количеству хранилищ на GitHub
В компании рассказали о кибератаке на ее сотрудников, осуществленной этой осенью. Хакеры, используя фишинг, добрались до ее GitHub и украли информацию из репозиториев в количестве 130 шт.
Как отмечается в материале xakep.ru, данная ситуация произошла осенью 14.10. Она связана с крупной мошеннической кампанией. О ее проведении предупреждали заранее в GitHub. Согласно схеме, злоумышленники организовали рассылку писем с неправдивыми уведомлениями от имени Circle CI. Им пользуются, чтобы обеспечить деплой и постоянную разработку.
В тексте человеку сообщали, что, например, что условия пользования и политика конфиденциальности были изменены, соответственно, человеку необходимо войти на учетку GitHub и все эти изменения принять. Понятно, что киберпреступники преследовали одну сеть – организовать сбор данных учеток и паролей разового характера от многофакторной аутентификации, передаваемые хакерам при помощи обратных прокси.
В компании пояснили, что на такое сообщение повелся один из ее работников. С его слов следует, что по виду письмо ничем не отличалось от реального. В итоге у злоумышленников появилась возможность добраться к одной из учеток на GitHub.
Представители компании заявили, что киберпреступник не имел доступ к информации каких-то учеток компании, паролям, данных по платежам. Сейчас по результатам внутреннего расследования стало понятно, что в коде находились только отдельные сведения, которыми пользуются разработчики, в большинстве своем API-ключи.
Код и те данные, которые с ним связаны, в себя включали тысячи email и имен тех, кто работает в компании, настоящим, прошлым, а также возможным будущим клиентам. На сегодняшний день количество зарегистрированных клиентов превышает 700 000 000.
Кроме того, представители Dropbox заявили, что к защите приватности своих клиентов, работников и партнеров компания относится максимально ответственно. Несмотря на то, что по мнению специалистов риск небольшой, все, кто пострадал в результате атаки, уже поставлены в известность.
В компании указывают, что после получения доступа к учетке у хакеров получилось попасть в одну из организаций GitHub. Указанное количество репозиториев было скопировано именно оттуда.
В них находились копии несколько измененных сторонних библиотек, некоторые прототипы, инструменты, а также файлы конфигурации, которые используют специалисты в сфере безопасности. Отмечается, что кода ключевых приложений там не было, как и инфраструктуры. К этим хранилищам доступ сильно ограниченный и находится под серьезным контролем.
Практически сразу, как только была выявлена атака, злоумышленникам отключили доступ к GitHub. Специалисты по кибербезопасности обновили взломанные учетки разработчиков и выяснили, какие именно клиентские сведения были похищены или просто доступны. Сейчас в компании активно работают над запуском WebAuthn. Работы начали проводить до компрометации учеток. В данный момент все действия в этом направлении осуществляются ускоренными темпами.