ven. Sep 13th, 2024
Dropbox : les pirates volent le code de 130 dépôts GitHub
Rate this post

Dropbox admet une attaque de phishing. Un pirate a volé les informations d’identification de l’API et copié le code de 130 de ses référentiels GitHub.

Dropbox, un service d’hébergement de fichiers exploité par la société américaine Dropbox, Inc., dont le siège est à San Francisco, Californie, États-Unis, a annoncé une violation de données. Après une attaque de phishing réussie, un pirate a réussi à accéder à l’un de leurs comptes GitHub et à accéder à 130 référentiels de code. Il a également volé des identifiants API.

Comme l’a annoncé mardi le service de stockage en nuage, personne n’aurait accédé au contenu, aux mots de passe ou aux informations de paiement. Ils ont donc pu maîtriser rapidement le problème. Dropbox utilise GitHub pour héberger à la fois des référentiels publics et certains référentiels non publics. La société revendique : « Nous pensons que le risque pour les clients est minime.« 

« Jusqu’à présent, notre enquête a révélé que le code auquel cet acteur de la menace avait accès contenait des informations d’identification – principalement des clés API – utilisées par les développeurs de Dropbox. Le code et les données associées comprenaient également plusieurs milliers de noms et d’adresses e-mail d’employés de Dropbox, de clients actuels et anciens, de prospects et de fournisseurs (Dropbox compte plus de 700 millions d’utilisateurs enregistrés).

Le GitHub de Microsoft a remarqué le problème de sécurité le 13 octobre. Les employés ont remarqué un comportement suspect dans le compte de l’entreprise Dropbox. GitHub a informé Dropbox dès le lendemain.

Des e-mails d’hameçonnage prétendant provenir de CircleCI ont été utilisés comme appât pour voler du code dans les référentiels GitHub de Dropbox

En conséquence, le fournisseur de stockage en nuage a enquêté sur le problème et a découvert qu’il avait été victime d’une attaque de phishing. Le phisher se faisait passer pour la plate-forme d’intégration et de livraison continue CircleCI. Dropbox a annoncé avoir désactivé l’accès de l’attaquant à GitHub le jour même après avoir pris connaissance de l’activité suspecte. Les équipes de sécurité ont alors immédiatement pris des mesures, telles que l’examen des journaux. Cela n’a révélé aucune preuve d’abus réussi. En outre, des experts médico-légaux externes ont été mandatés pour examiner les résultats. L’entreprise a signalé l’incident aux organismes de réglementation et d’application de la loi compétents.

Dropbox utilise CircleCI « pour les déploiements internes sélectionnés ». Les collaborateurs utilisent leurs comptes GitHub pour accéder aux référentiels de code privés. Vos identifiants GitHub vous donnent également accès à CircleCI. Ainsi, si le pirate a obtenu les informations d’identification GitHub d’un employé en se faisant passer pour CircleCI, il peut ensuite utiliser ces informations pour pirater les comptes GitHub de Dropbox. L’accès aux référentiels est désormais libre.

Trois semaines avant cette attaque, GitHub avait mis en garde contre des campagnes de phishing dans lesquelles les attaquants se faisaient passer pour CircleCI. Début octobre, les employés de Dropbox ont reçu des e-mails qui provenaient prétendument de CircleCI. Un ou plusieurs employés sont tombés dans l’escroquerie. Le pirate a réussi à voler un compte GitHub. Le pirate a pu accéder à 130 référentiels de code. Dropbox partagé :

« Ces e-mails d’apparence légitime demandaient aux employés de visiter une fausse page de connexion CircleCI, d’entrer leur nom d’utilisateur et leur mot de passe GitHub, puis d’utiliser leur clé d’authentification matérielle pour envoyer un mot de passe à usage unique (OTP) au site malveillant à transférer. Ce site Web a collecté les informations d’identification saisies, permettant aux attaquants d’utiliser ces informations pour se connecter au compte GitHub de la victime et pénétrer dans les dépôts de travail. […] Ces référentiels contenaient nos propres copies de bibliothèques tierces légèrement modifiées pour l’utilisation de Dropbox, des prototypes internes et certains outils et fichiers de configuration utilisés par l’équipe de sécurité. Surtout, ils ne contenaient aucun code pour nos applications ou notre infrastructure de base. L’accès à ces référentiels est encore plus restreint et étroitement contrôlé.

En réponse à l’incident, Dropbox s’efforce de passer à la norme WebAuthn pour l’authentification multifacteur :

« Tous les types d’authentification multifacteur ne sont pas créés égaux et certains sont plus sujets au phishing que d’autres. Alors que de nombreuses organisations s’appuient encore sur des formes moins sécurisées d’authentification multifacteur – telles que les notifications push, les mots de passe à usage unique (OTP) et les mots de passe à usage unique basés sur le temps (TOTP) – WebAuthn est actuellement la référence.