Los atacantes utilizaron la información de inicio de sesión de los empleados que habían obtenido a través del phishing para iniciar sesión en una de las cuentas de GitHub de Dropbox , donde robaron 130 proyectos de código. Como resultado, Dropbox anunció una brecha de seguridad.
Tanto algunos de los repositorios privados de Dropbox como sus repositorios públicos están alojados en GitHub. Además, emplean CircleCI para algunas implementaciones internas. A principios de octubre, se enviaron correos electrónicos de phishing que pretendían ser de CircleCI a muchos empleados de Dropbox con el objetivo de robar cuentas de GitHub (una persona puede usar sus credenciales de GitHub para iniciar sesión en CircleCI).
Si bien algunos de estos correos electrónicos fueron puestos en cuarentena automáticamente por los sistemas de seguridad, otros llegaron a las bandejas de entrada de los empleados. Estos correos electrónicos convincentes instruían a los destinatarios a acceder a una página de inicio de sesión ficticia de CircleCI, iniciar sesión con sus credenciales de GitHub y luego usar su clave de autenticación física para acceder al sistema.
A través de una página de inicio de sesión falsa de CircleCI, se instruyó a los empleados para que ingresaran su nombre de usuario y contraseña de GitHub antes de usar su clave de autenticación física para enviar una contraseña de un solo uso (OTP) al sitio de phishing. Los actores maliciosos finalmente obtuvieron acceso a uno de los grupos de GitHub a través de esto, y luego copiaron 130 de sus repositorios de origen allí.
En estos repositorios se almacenaron prototipos internos, copias de bibliotecas de terceros que habían sido modificadas marginalmente para el uso de Dropbox, así como varias herramientas y archivos de configuración necesarios para el equipo de seguridad. Es importante tener en cuenta que omitieron la infraestructura o el código de la aplicación principal. El acceso a estos repositorios está significativamente más restringido y estrictamente regulado.
El contenido de la cuenta de Dropbox de cualquier persona, su contraseña o sus detalles de pago nunca estuvieron disponibles para este atacante malicioso. A partir de este punto, la investigación ha demostrado que algunas credenciales (principalmente, claves API) utilizadas por los desarrolladores de Dropbox se incluyeron en el código al que pudieron acceder estos actores malintencionados. Algunos miles de nombres y direcciones de correo electrónico del personal de Dropbox, clientes, prospectos de ventas y proveedores también estaban incluidos en el código y los datos que lo rodeaban (para el contexto, Dropbox tiene más de 700 millones de usuarios registrados).
Somos conscientes de que las personas no pueden identificar todas las técnicas de phishing. Los trabajos de muchas personas necesitan que hagan clic regularmente en enlaces y vean archivos adjuntos. Incluso el experto más suspicaz y vigilante podría ser engañado por un mensaje hábilmente preparado y difundido en el momento ideal. La defensa más fuerte contra este tipo de ataques sigue siendo las restricciones tecnológicas y la formación en concienciación sobre ciberseguridad, que es precisamente la razón por la que el phishing sigue teniendo tanto éxito. Cuanto más evolucionan las amenazas complejas, más cruciales se vuelven estas medidas.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.