[English]Der Anbieter von Online-Speicher, Dropbox, hat einen Sicherheitsvorfall bekannt gegeben. Es geht darum dass unbefugte Dritte wohl mittels Phishing Zugriff auf GitHub-Repositories von Dropbox erhalten haben. Der Vorfall ereignete sich bereits am 14. Oktober 2022 und Dropbox wurde von GitHub informiert, dass man verdächtige Aktivitäten entdeckt habe.
Anzeige
DropBox verwendet in der Entwicklung GitHub, um öffentlichen sowie einige private Repositories zu hosten. Außerdem verwenden die Entwickler CircleCI für ausgewählte interne Bereitstellungen. In dieser Mitteilung heißt es, dass Anfang Oktober 2022 mehrere Dropbox-Mitarbeiter Phishing-E-Mails erhielten, die sich als CircleCI ausgaben. Ziel der Phishing-Mails war es, Zugriff auf die Dropbox-GitHub-Konten zu erhalten (eine Person kann ihre GitHub-Zugangsdaten für die Anmeldung bei CircleCI verwenden).
Die Dropbox-Systeme haben einige dieser Mails in Quarantäne einsortiert, aber einige erreichte die Posteingangsfächer von Dropbox-Mitarbeitern. Diese legitim aussehenden Phishing-E-Mails forderten die Mitarbeiter auf, eine gefälschte CircleCI-Anmeldeseite zu besuchen, ihren GitHub-Benutzernamen und ihr Passwort einzugeben und dann ihren Hardware-Authentifizierungsschlüssel zu verwenden, um ein Einmalpasswort (OTP) an die bösartige Website zu übermitteln. Die Kollegen von Bleeping Computer haben hier eine solche Mail als Beispiel veröffentlicht. Dies gelang schließlich und der Angreifer erhielt Zugang zu einer der Dropbox GitHub-Organisationen, wo er 130 Dropbox Code-Repositories kopierte.
Diese Repositorys enthielten durch Dropbox modifizierte Kopien von Bibliotheken von Drittanbietern, die für die Verwendung durch Dropbox vorgesehen waren. Zudem gab es dort interne Prototypen sowie einige vom Sicherheitsteam verwendete Tools und Konfigurationsdateien. Am 14. Oktober 2022 wurde Dropbox wurde von GitHub informiert, dass man verdächtige Aktivitäten entdeckt habe.
Sofort wurde der Zugang des Bedrohungsakteurs zu GitHub deaktiviert. Die Dropbox Sicherheitsteams haben sofort Maßnahmen ergriffen, um die Erneuerung aller offengelegten Entwickleranmeldedaten zu koordinieren und festzustellen, auf welche Kundendaten – wenn überhaupt – zugegriffen wurde oder welche gestohlen wurden. Dabei auch die Dropbox-Protokolle überprüft, aber keine Hinweise für einen erfolgreichen Missbrauch gefunden.
Anzeige
Um sicherzugehen, haben die DropBox-Leute externe forensische Experten beauftragt, die internen Erkenntnisse und Ergebnisse zu verifizieren, und diesen Vorfall den zuständigen Aufsichtsbehörden und Strafverfolgungsbehörden gemeldet. Dropbox schreibt, dass die Angreifer keinen Code für die Kernanwendungen oder die Dropbox-Infrastruktur enthielten. Der Zugriff auf diese Repositorys sei noch stärker eingeschränkt und werde streng kontrolliert.
Es sei auch nicht auf Inhalte, Kennwörter oder Zahlungsinformationen von Dropbox-Kunden zugegriffen worden, heißt es. Die Verantwortlichen glauben, dass das Risiko für Dropbox-Kunden in Bezug auf diesem Vorfall minimal ist.
Anzeige