Storageleverancier Dropbox geeft aan dat cybercriminelen via de account van een medewerker 130 GitHub repositories hebben gestolen. Naast code zijn persoonlijke e-mailadressen van medewerkers en klanten buitgemaakt.

De cybercriminelen kregen toegang tot de account van de Dropbox-medewerker via een phishingaanval, aldus de storageleverancier in een verklaring. De aanval werd op meerdere medewerkers uitgevoerd.

De verzenders van de phishing mails deden zich voor als het CircleCI CI/CD-platform. De mails verwezen naar een valse landingspagina. Hier werden de medewerkers gevraagd hun GitHub-inloggegevens in te voeren en een hardware-authenticatiesleutel te gebruiken voor het doorgeven van een One Time Password (OTP).

GitHub worstelde afgelopen september met een vergelijkbare aanval. Cybercriminelen deden zich voor als CircleCI om de inloggegevens van GitHub-gebruikers te stelen. Het CI/CD-platform blijkt een populaire vermomming voor phishers.

Gestolen data

Uiteindelijk kregen de aanvallers van Dropbox toegang tot een van de GitHub-omgevingen van de organisatie. Daar wisten ze 130 repositories te stelen. De repositories bevatten voornamelijk code, zoals kopieën van third-party libraries die aan Dropbox zijn aangepast. Ook waren er in de repositories interne prototypes aanwezig, evenals tools en configuratiebestanden voor securitydoeleinden.

Daarnaast werden er namen en e-mailadressen buitgemaakt. Dit waren voornamelijk namen en e-mailadressen van Dropbox-medewerkers, huidige en oude klanten, verkoopleads en leveranciers. Volgens Dropbox hebben de criminelen geen toegang gekregen tot bestanden, betaalgegevens en inloggegevens van klanten of de infrastructuur- en applicatiecode van Dropbox zelf.

Maatregelen Dropbox

Dropbox belooft zijn datasecurity verder te verbeteren. De hele Dropbox-bedrijfsomgeving wordt vernieuwd met de diensten van WebAuthn, fysieke authenticatietokens en biometrische inlogopties.

GitHub geeft in een reactie aan dat het de aanval op de repositories en de datadiefstal vrijwel direct heeft gedetecteerd. Daarnaast werd ontdekt dat de cybercriminelen VPN- en/of proxyservers gebruikten.