Il servizio di file hosting Dropbox ha reso noto martedì di essere stato vittima di una campagna di phishing che ha permesso ad attori non identificati di ottenere l’accesso non autorizzato a 130 dei suoi repository di codice sorgente su GitHub. “Questi repository includevano nostre copie di librerie di terze parti leggermente modificate per l’uso da parte di Dropbox, prototipi interni e alcuni strumenti e file di configurazione utilizzati dal team di sicurezza”, ha rivelato l’azienda in un avviso. La violazione ha comportato l’accesso ad alcune chiavi API utilizzate dagli sviluppatori di Dropbox, nonché a “qualche migliaio di nomi e indirizzi e-mail appartenenti a dipendenti di Dropbox, clienti attuali e passati, lead di vendita e venditori”. L’azienda ha tuttavia sottolineato che i repository non contenevano codice sorgente relativo alle sue applicazioni o infrastrutture principali. Dropbox, che offre servizi di cloud storage, backup dei dati e firma dei documenti, tra gli altri, ha oltre 17,37 milioni di utenti paganti e 700 milioni di utenti registrati ad agosto 2022. La rivelazione arriva più di un mese dopo che sia GitHub che CircleCI hanno messo in guardia da attacchi di phishing volti a rubare le credenziali di GitHub attraverso notifiche false che sembrano provenire dalla piattaforma CI/CD. L’azienda di San Francisco ha rilevato che all’inizio di ottobre “diversi utenti di Dropbox hanno ricevuto e-mail di phishing che si spacciavano per CircleCI”, alcune delle quali sono passate attraverso i filtri antispam automatizzati per arrivare nelle caselle di posta elettronica dei dipendenti. “Queste e-mail, dall’aspetto legittimo, indirizzavano i dipendenti a visitare una falsa pagina di accesso a CircleCI, a inserire il proprio nome utente e la password di GitHub e quindi a utilizzare la propria chiave di autenticazione hardware per passare una One Time Password (OTP) al sito dannoso”, ha spiegato Dropbox.
L’azienda non ha rivelato quanti dei suoi dipendenti siano caduti nell’attacco di phishing, ma ha dichiarato di aver preso provvedimenti tempestivi per ruotare tutte le credenziali esposte degli sviluppatori e di aver allertato le autorità di polizia. L’azienda ha inoltre dichiarato di non aver trovato alcuna prova che i dati dei clienti siano stati rubati a seguito dell’incidente, aggiungendo che sta aggiornando i suoi sistemi di autenticazione a due fattori per supportare le chiavi di sicurezza hardware per la resistenza al phishing. “Anche il professionista più scettico e vigile può cadere vittima di un messaggio accuratamente elaborato e recapitato nel modo giusto al momento giusto”, ha concluso l’azienda. “È proprio per questo che il phishing rimane così efficace”. La notifica di Dropbox giunge anche in concomitanza con la pubblicazione da parte dell’Agenzia statunitense per la sicurezza informatica e delle infrastrutture (Cybersecurity and Infrastructure Security Agency, CISA) di una guida per l’implementazione di un’autenticazione a più fattori resistente al phishing (MFA) per salvaguardarsi dal phishing e da altre minacce informatiche note. “Se un’organizzazione che utilizza l’MFA basato sulla notifica push mobile non è in grado di implementare l’MFA resistente al phishing, il CISA raccomanda di utilizzare la corrispondenza dei numeri per mitigare l’affaticamento dell’MFA”, ha dichiarato l’agenzia.
