130 kho lưu trữ mã nguồn GitHub đã bị tin tặc truy cập trái phép qua dịch vụ Dropbox

Dịch vụ lưu trữ tệp Dropbox vào thứ ba đã tiết lộ rằng họ là nạn nhân của một chiến dịch lừa đảo cho phép các tác nhân đe dọa không xác định có quyền truy cập trái phép vào 130 kho lưu trữ mã nguồn của nó trên GitHub.

"Các kho lưu trữ này bao gồm các bản sao thư viện bên thứ ba của chúng tôi được sửa đổi một chút để Dropbox sử dụng, các nguyên mẫu nội bộ và một số công cụ và tệp cấu hình được sử dụng bởi nhóm bảo mật", công ty tiết lộ trong một lời khuyên.

Vi phạm dẫn đến việc truy cập một số khóa API được sử dụng bởi các nhà phát triển Dropbox cũng như "vài nghìn tên và địa chỉ email thuộc về nhân viên Dropbox, khách hàng hiện tại và trước đây, khách hàng tiềm năng và nhà cung cấp."

Tuy nhiên, nó nhấn mạnh rằng các kho lưu trữ không chứa mã nguồn liên quan đến các ứng dụng hoặc cơ sở hạ tầng cốt lõi của nó.

Dropbox, cung cấp dịch vụ lưu trữ đám mây, sao lưu dữ liệu và ký tài liệu, cùng nhiều dịch vụ khác, có hơn 17,37 triệu người dùng trả phí và 700 triệu người dùng đã đăng ký tính đến tháng 8 năm 2022.

Tiết lộ được đưa ra hơn một tháng sau khi cả GitHub và CircleCI cảnh báo về các cuộc tấn công lừa đảo được thiết kế để đánh cắp thông tin đăng nhập GitHub thông qua các thông báo giả mạo có ý định đến từ nền tảng CI/CD.

Công ty có trụ sở tại San Francisco lưu ý rằng "nhiều Dropboxers đã nhận được email lừa đảo mạo danh CircleCI" vào đầu tháng 10, một số trong số đó đã lọt qua bộ lọc thư rác tự động của họ để đến hộp thư đến email của nhân viên.

Dropbox giải thích: “Những email trông có vẻ hợp pháp này đã hướng dẫn nhân viên truy cập trang đăng nhập CircleCI giả mạo, nhập tên người dùng và mật khẩu GitHub của họ, sau đó sử dụng khóa xác thực phần cứng của họ để chuyển Mật khẩu một lần (OTP) đến trang web độc hại”.

Công ty không tiết lộ có bao nhiêu nhân viên của mình đã rơi vào cuộc tấn công lừa đảo, nhưng cho biết họ đã có hành động nhanh chóng để xoay chuyển tất cả các thông tin xác thực của nhà phát triển bị lộ và họ đã cảnh báo cho các cơ quan thực thi pháp luật.

 Nó cũng cho biết họ không tìm thấy bằng chứng nào cho thấy bất kỳ dữ liệu khách hàng nào bị đánh cắp do sự cố, thêm vào đó, nó đang nâng cấp hệ thống xác thực hai yếu tố để hỗ trợ các khóa bảo mật phần cứng nhằm chống lừa đảo.

Công ty kết luận: “Ngay cả những chuyên gia hay nghi ngờ, cảnh giác nhất cũng có thể trở thành nạn nhân của một thông điệp được soạn thảo cẩn thận được gửi đi đúng cách vào đúng thời điểm”. "Đây chính xác là lý do tại sao lừa đảo vẫn rất hiệu quả."

Thông báo Dropbox cũng được đưa ra khi Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) công bố hướng dẫn triển khai xác thực đa yếu tố chống lừa đảo (MFA) để bảo vệ chống lừa đảo và các mối đe dọa mạng đã biết khác.

Cơ quan này cho biết: “Nếu một tổ chức sử dụng MFA dựa trên thông báo đẩy trên thiết bị di động không thể triển khai MFA chống lừa đảo, CISA khuyên bạn nên sử dụng khớp số để giảm thiểu sự mệt mỏi của MFA”.

Hương – Theo TheHackerNews