Dịch vụ lưu trữ tệp Dropbox hôm thứ Ba tiết lộ rằng họ là nạn nhân của một chiến dịch lừa đảo cho phép các tác nhân đe dọa không xác định truy cập trái phép vào 130 kho mã nguồn của nó trên GitHub.
"Các kho lưu trữ này bao gồm các bản sao thư viện của bên thứ ba của chúng tôi được sửa đổi một chút để Dropbox sử dụng, các nguyên mẫu nội bộ và một số công cụ và tệp cấu hình được nhóm bảo mật sử dụng," công ty tiết lộ trong một lời khuyên.
Vi phạm dẫn đến quyền truy cập của một số khóa API được sử dụng bởi các nhà phát triển Dropbox cũng như "vài nghìn tên và địa chỉ email thuộc về nhân viên Dropbox, khách hàng hiện tại và trước đây, khách hàng tiềm năng bán hàng và nhà cung cấp. "
Tuy nhiên, nó nhấn mạnh rằng các kho lưu trữ không chứa mã nguồn liên quan đến các ứng dụng hoặc cơ sở hạ tầng cốt lõi của nó.
Dropbox, cung cấp dịch vụ lưu trữ đám mây, sao lưu dữ liệu và ký tài liệu, trong số những dịch vụ khác, có hơn 17.37 triệu người dùng trả phí và 700 triệu người dùng đã đăng ký tính đến tháng 8 năm 2022.
Tiết lộ được đưa ra hơn một tháng sau khi cả GitHub và CircleCI cảnh báo về các cuộc tấn công lừa đảo được thiết kế để đánh cắp thông tin đăng nhập GitHub thông qua các thông báo giả mạo được cho là từ nền tảng CI / CD.
Công ty có trụ sở tại San Francisco lưu ý rằng "nhiều Dropboxer đã nhận được email lừa đảo mạo danh CircleCI" vào đầu tháng 10, một số trong số đó đã lọt qua các bộ lọc thư rác tự động để đến hộp thư đến email của nhân viên.
Dropbox giải thích: "Những email trông có vẻ hợp pháp này đã hướng dẫn nhân viên truy cập trang đăng nhập CircleCI giả mạo, nhập tên người dùng và mật khẩu GitHub của họ, sau đó sử dụng khóa xác thực phần cứng của họ để chuyển Mật khẩu dùng một lần (OTP) đến trang web độc hại. "
Công ty không tiết lộ có bao nhiêu nhân viên của mình đã rơi vào cuộc tấn công lừa đảo, nhưng cho biết họ đã hành động nhanh chóng để xoay vòng tất cả thông tin đăng nhập của nhà phát triển bị lộ và họ đã cảnh báo cho các cơ quan thực thi pháp luật.
Họ cũng cho biết họ không tìm thấy bằng chứng nào cho thấy bất kỳ dữ liệu khách hàng nào đã bị đánh cắp do hậu quả của vụ việc, đồng thời cho biết họ đang nâng cấp hệ thống xác thực hai yếu tố của mình để hỗ trợ khóa bảo mật phần cứng để chống lừa đảo.
"Các chuyên gia cảnh giác có thể trở thành con mồi của một thông điệp được tạo ra cẩn thận được gửi đúng cách vào đúng thời điểm," công ty kết luận. "Đây chính xác là lý do tại sao lừa đảo vẫn hiệu quả như vậy."