编译:代码卫士

Dropbox公司披露称数据遭泄露,恶意人员获得对员工和客户某些源代码和个人信息的访问权限。

该文件托管巨头表示,10月14日,GitHub 向其发出警报,从而发现该泄露事件。几周前,GitHub 提醒称,其某些用户遭假冒持续集成和持续交付平台 CirecleCI的钓鱼攻击,凭据和双因素认证代码遭窃取。

Dropbox也遭受类似攻击。黑客向多个员工发送钓鱼邮件,将员工定向到虚假的CircleCI网站,从而窃取了员工的凭据和多因素认证一次性密码。这起攻击获得成功,黑客设法访问了Dropbox 的一个GitHub 组织机构,从而复制了130个代码仓库。

Dropbox 公司提到,“这些仓库中包括我们稍作修改后使用的第三方库副本、内部原型和安全团队使用的一些工具和配置文件。不过很重要的一点是,其中并不包括核心应用或基础设施的代码。访问这些仓库的限制更大且控制更严格。”

Dropbox公司表示,虽然攻击者并未获得对Dropbox 账户的访问权限、用户密码或支付信息,但遭暴露的源代码中确实包含开发人员使用的某些凭据。另外,被暴露的文件中还包括Dropbox 员工、之前和当前客户、厂商和销售主管的“数千个”姓名和邮件地址。

Dropbox 公司表示,黑客钓鱼员工硬件认证密钥生成的一次性密码。一般而言,硬件认证密钥更安全,但该公司承认自己所使用的并非最好,目前正在采用更能防御钓鱼的MFA,即将WebAuthn 与硬件令牌或生物特征因素相结合的密钥。

针对大型企业的勒索攻击并不少见。就在几个月前,Twilio 和 Cloudflare 公司的员工遭钓鱼攻击,而这起攻击攻陷了130多家组织机构。

原文链接

https://www.securityweek.com/hackers-stole-source-code-personal-data-dropbox-following-phishing-attack

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。