El servicio de almacenamiento cloud Dropbox ha comunicado que ha sido víctima de un ataque de phishing que habría resultado en la filtración de 130 repositorios de código privado de GitHub y algunas de sus credenciales de APIs (interfaz de programación de aplicaciones).
El fallo de seguridad se descubrió el pasado 13 de octubre cuando GitHub, propiedad de Microsoft desde 2018, detectó un comportamiento sospechoso en la cuenta corporativa de Dropbox.
La firma avisó a Dropbox al día siguiente y esta inició una investigación, determinando que había sido atacada por un actor de amenazas que se había hecho pasar por la plataforma de entrega e integración de código CircleCI.
Dropbox suele usar dicha plataforma para algunas implementaciones internas y los empleados de la compañía utilizan sus cuentas de GitHub para acceder a los repositorios de códigos privados de Dropbox. Además, sus datos de inicio de sesión son los mismos que llevan a CircleCI.
Así que los cibermalos solo tuvieron que hacerse pasar por alguien de CircleCI y obtener los credenciales de GitHub de ingenieros de Dropbox. Puede que esta amenaza inspirada a GitHub para emitir tres semanas después una advertencia sobre campañas de phising que implicaban la suplantación de CircleCI. Pero a Dropbox no le sirvió de mucho, visto lo visto.
"Estos correos electrónicos de aspecto legítimo dirigían a los empleados a visitar una página de inicio de sesión falsa de CircleCI, ingresar su nombre de usuario y contraseña de GitHub y luego usar su clave de autenticación de hardware para pasar una contraseña de un solo uso (OTP) al sitio malicioso", recoge la explicación de Dropbox.
Dicho sitio falso se encargaba de recopilar los detalles de inicio de sesión para que los ciberdelincuentes pudieran usar la información e iniciar sesión en la cuenta de GitHub de la víctima y acceder a los repositorios de trabajo.
Finalmente, el actor de amenazas logró acceder a una de las organizaciones de GitHub, donde pudo copiar 130 de estos repositorios del servicio de almacenamiento en la nube.
Los usuarios pueden estar tranquilos
Desde Dropbox han querido tranquilizar a sus usuarios. "No se accedió al contenido, las contraseñas o la información de pago de nadie y el problema se resolvió rápidamente", aseguran."Creemos que el riesgo para los clientes es mínimo", insisten.
La compañía afirma que los hackers no llegaron a acceder a ningún código relativo a sus aplicaciones principales o infraestructura.
Por si acaso, revocaron el acceso del intruso al repositorio de GitHub el 14 de octubre y desde entonces han ido rotando todas las credenciales de API de desarrollador a las que este tercero consiguió acceso.
Dropbox también contrató a investigadores externos con el fin de que indagaran en sus hallazgos y estos confirmaron que no se había detectado ningún abuso del código copiado. Además, habrían actualizado sus sistemas de autenticación de dos factores a la autenticación multifactor WebAuthn y pronto usarán sistemas bioométricos en todo su entorno.
Por último, aunque la empresa a través de su equipo de seguridad volvió a disculparse por el incidente reconoció que algunos ataques de phising son inevitables, pese a tener los mejores sistemas de seguridad implementados.