קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף.

Dropbox הודיעה כי 130 מאגרי GitHub נגנבו כתוצאה מהפרת נתונים. הפרצה התרחשה כתוצאה ממתקפת פישינג מוצלחת.

Dropbox חושפת פרצת אבטחה

פורסם כי Dropbox, פלטפורמת שיתוף הקבצים והשיתוף הפופולרית, סבלה מפרצת נתונים. בהפרה זו, שחקן איום גנב 130 מאגרי קוד (או ארכיונים) פרטיים של GitHub באמצעות התקפת דיוג.

ב דרופבוקס. פוסט טכני, צוות האבטחה של החברה הצהיר כי המאגרים הגנובים הללו כללו "כמה אישורים - בעיקר מפתחות API - המשמשים מפתחי Dropbox". הצוות גם ציין כי "הקוד והנתונים סביבו כללו גם כמה אלפי שמות וכתובות דוא"ל השייכים לעובדי Dropbox, לקוחות נוכחיים וקודמים, לידי מכירות וספקים".

Dropbox השביתה מאז את הגישה של שחקן האיום ל-GitHub (פלטפורמת אירוח, שיתוף ופיתוח קוד), עם צוות עובד במהירות כדי למצוא אם נתוני לקוח נגנבו ולקבוע את "הסיבוב של כל המפתחים החשופים תעודות".

שחקן איום התחזה לגוף רשמי

בדרופבוקס הזה מתקפת דיוג, שחקן האיום התחזה לחבר צוות CirclCI. Dropbox משתמשת ב-CirclCI, פלטפורמת אינטגרציה ואספקה, עבור חלק מהפריסות הפנימיות שלה. החל מאוקטובר, משתמשי Dropbox החלו לקבל מיילים משולחים הטוענים שהם מ-CirclCI. זה נפוץ בהתקפות פישינג.

instagram viewer

ניתן להשתמש באישורי GitHub של עובד Dropbox גם כדי לגשת לחשבון CircleCI שלו, וזו הסיבה ששחקן האיום התחזה ל-CircleCI במקרה זה. Dropbox הצליחה לתפוס כמה הודעות דיוג לפני שהגיעו לצוות, אבל לא את כולם.

כאשר האדם הממוקד קיבל את האימייל, הוא קיבל קישור ל-a אתר זדוני תוכנן לגנוב גם את אישורי GitHub וגם מפתח אימות החומרה שלהם. אתרים כאלה נועדו להיראות כמעט זהים לדפי הכניסה הרשמיים.

באמצעות מידע זה, התוקף הצליח לגשת לחשבון GitHub ולגנוב מאגרים. לא ידוע כמה צוותי Dropbox נפלו קורבן למסע הדיוג הזה.

תוכן חשבון Dropbox לא נגנב

בפוסט האמור, דרופבוקס הבטיחה למשתמשים שאף סוג של נתוני לקוחות, כמו סיסמאות או פרטי תשלום, לא נגנבו במתקפה. נוסף על כך, דרופבוקס הצהירה ששחקן האיום לא גנב שום קוד עבור אפליקציות הליבה והתשתית שלו.

כתוצאה מהפרה זו, Dropbox הודיעה שכל הפלטפורמה שלה "תאובטח בקרוב על ידי WebAuthn עם אסימוני חומרה או גורמים ביומטריים".

התקפות פישינג יכולות להערים אפילו על אנשים מנוסים

התקפות דיוג הולכות ומשתכללות ככל שחולפות השנים, עד לנקודה שבה קשה כעת לרחרח אימייל או אתר זדוני. עם זאת, זה עדיין חיוני להפעיל אמצעי אבטחה נאותים, כגון תוכנת אנטי-וירוס ומסנני דואר זבל, כדי להגן על עצמך מפני הונאות דיוג ככל האפשר.