130 kho lưu trữ mã nguồn GitHub đã bị tin tặc truy cập trái phép qua dịch vụ Dropbox

www.tuoitre.vn -   03/11/2022 08:00:00 380

Dịch vụ lưu trữ tệp Dropbox vào thứ ba đã tiết lộ rằng họ là nạn nhân của một chiến dịch lừa đảo cho phép các tác nhân đe dọa không xác định có quyền truy cập trái phép vào 130 kho lưu trữ mã nguồn của nó trên GitHub.

130 kho lưu trữ mã nguồn GitHub đã bị tin tặc truy cập trái phép qua dịch vụ Dropbox

"Các kho lưu trữ này bao gồm các bản sao thư viện bên thứ ba của chúng tôi được sửa đổi một chút để Dropbox sử dụng, các nguyên mẫu nội bộ và một số công cụ và tệp cấu hình được sử dụng bởi nhóm bảo mật", công ty tiết lộ trong một lời khuyên.

Vi phạm dẫn đến việc truy cập một số khóa API được sử dụng bởi các nhà phát triển Dropbox cũng như "vài nghìn tên và địa chỉ email thuộc về nhân viên Dropbox, khách hàng hiện tại và trước đây, khách hàng tiềm năng và nhà cung cấp."

Tuy nhiên, nó nhấn mạnh rằng các kho lưu trữ không chứa mã nguồn liên quan đến các ứng dụng hoặc cơ sở hạ tầng cốt lõi của nó.

Dropbox, cung cấp dịch vụ lưu trữ đám mây, sao lưu dữ liệu và ký tài liệu, cùng nhiều dịch vụ khác, có hơn 17,37 triệu người dùng trả phí và 700 triệu người dùng đã đăng ký tính đến tháng 8 năm 2022.

Tiết lộ được đưa ra hơn một tháng sau khi cả GitHub và CircleCI cảnh báo về các cuộc tấn công lừa đảo được thiết kế để đánh cắp thông tin đăng nhập GitHub thông qua các thông báo giả mạo có ý định đến từ nền tảng CI/CD.

Công ty có trụ sở tại San Francisco lưu ý rằng "nhiều Dropboxers đã nhận được email lừa đảo mạo danh CircleCI" vào đầu tháng 10, một số trong số đó đã lọt qua bộ lọc thư rác tự động của họ để đến hộp thư đến email của nhân viên.

Dropbox giải thích: “Những email trông có vẻ hợp pháp này đã hướng dẫn nhân viên truy cập trang đăng nhập CircleCI giả mạo, nhập tên người dùng và mật khẩu GitHub của họ, sau đó sử dụng khóa xác thực phần cứng của họ để chuyển Mật khẩu một lần (OTP) đến trang web độc hại”.

Công ty không tiết lộ có bao nhiêu nhân viên của mình đã rơi vào cuộc tấn công lừa đảo, nhưng cho biết họ đã có hành động nhanh chóng để xoay chuyển tất cả các thông tin xác thực của nhà phát triển bị lộ và họ đã cảnh báo cho các cơ quan thực thi pháp luật.

 Nó cũng cho biết họ không tìm thấy bằng chứng nào cho thấy bất kỳ dữ liệu khách hàng nào bị đánh cắp do sự cố, thêm vào đó, nó đang nâng cấp hệ thống xác thực hai yếu tố để hỗ trợ các khóa bảo mật phần cứng nhằm chống lừa đảo.

Công ty kết luận: “Ngay cả những chuyên gia hay nghi ngờ, cảnh giác nhất cũng có thể trở thành nạn nhân của một thông điệp được soạn thảo cẩn thận được gửi đi đúng cách vào đúng thời điểm”. "Đây chính xác là lý do tại sao lừa đảo vẫn rất hiệu quả."

Thông báo Dropbox cũng được đưa ra khi Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) công bố hướng dẫn triển khai xác thực đa yếu tố chống lừa đảo (MFA) để bảo vệ chống lừa đảo và các mối đe dọa mạng đã biết khác.

Cơ quan này cho biết: “Nếu một tổ chức sử dụng MFA dựa trên thông báo đẩy trên thiết bị di động không thể triển khai MFA chống lừa đảo, CISA khuyên bạn nên sử dụng khớp số để giảm thiểu sự mệt mỏi của MFA”.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Tăng cường bảo mật, Google bổ sung tính ...

03/10/2023 12:00:00 4
Google cho biết tính năng này cho phép “người dùng làm việc với dữ liệu nhạy cảm của mình từ mọi nơi...

Để an toàn bảo mật, nên tắt 6 cài đặt nà...

02/10/2023 12:00:00 5
Có một số tính năng mới trong iOS 17 có thể xâm phạm quyền riêng tư cá nhân, gây khó chịu hoặc thậm ...

Tránh mất dữ liệu, hãy cập nhật Chrome n...

29/09/2023 12:00:00 4
Google khuyến khích người dùng nên cập nhật lên phiên bản mới nhất của trình duyệt Chrome để khắc ph...

Cập nhật Chrome ngay nếu bạn không muốn ...

28/09/2023 08:00:00 17
Google hôm thứ Tư đã tung ra các bản sửa lỗi để giải quyết lỗi zero-day mới được khai thác tích cực ...

Phát hiện phần mềm độc hại trên Android ...

28/09/2023 12:00:00 2
Khi đã lây nhiễm thành công lên smartphone của nạn nhân, Xenomorph sẽ giám sát hoạt động của nạn nhâ...

Những kẻ lừa đảo trên App Store – cảnh b...

27/09/2023 08:00:00 17
Chúng tôi đã phát hiện một số ứng dụng đầu tư lừa đảo trong App Store nhằm đánh lừa người dùng để lấ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ