Nach Phishing-Angriff: Hacker erbeuten GitHub-Code von Dropbox
Attacke betrifft 130 Repositories. Sie enthalten API-Schlüssel von Dropbox-Entwicklern. Dropbox betont, dass Inhalte und Nutzerdaten nicht betroffen sind.
Dropbox hat bestätigt, dass es das Ziel eines Phishing-Angriffs war. Den unbekannten Tätern gelang es demnach, Zugang zu Code von Dropbox zu erhalten, der auf GitHub gespeichert war. Der Cloud-Storage-Anbieter betont, es seien weder Inhalte von Nutzern noch Kennwörter oder Bezahlinformationen kompromittiert worden. Zudem sei das entstandene Sicherheitsleck schnell geschlossen worden.
Auch die Apps von Dropbox sowie die Infrastruktur des Unternehmens seien nicht betroffen gewesen, heißt es in einer Pressemitteilung. Der Zugang zu diesem Code sei sehr begrenzt und werde streng kontrolliert.
Der Vorfall selbst ereignete sich bereits am 13. Oktober. Auf den Einbruch wurde Dropbox von GitHub am 14. Oktober hingewiesen. Laut Dropbox nutzten die Cyberkriminellen eine Angriffsmethode, die im September bereits gegen GitHub eingesetzt wurde. So sei es den Tätern möglich gewesen, die Kontrolle über Dropbox-Konten auf GitHub zu übernehmen und auch eine Multifaktor-Authentifizierung zu überwinden.
Hacker erhalten Zugang zu 130 Code-Repositories
“Zu keinem Zeitpunkt hatte dieser Bedrohungsakteur Zugriff auf den Inhalt des Dropbox-Kontos einer Person, ihr Passwort oder ihre Zahlungsinformationen”, erklärte Dropbox. “Bisher hat unsere Untersuchung ergeben, dass der Code, auf den dieser Bedrohungsakteur Zugriff hatte, einige Anmeldeinformationen – vor allem API-Schlüssel – enthielt, die von Dropbox-Entwicklern verwendet wurden. Der Code und die damit verbundenen Daten enthielten auch einige tausend Namen und E-Mail-Adressen von Dropbox-Mitarbeitern, aktuellen und ehemaligen Kunden, Interessenten und Anbietern (Dropbox hat mehr als 700 Millionen registrierte Nutzer).”
Dropbox nutze GitHub in erster Linie für das Hosting von öffentlichen Repositories, aber auch für einige nichtöffentliche Repositories, ergänzte das Unternehmen. Die Phishing-E-Mails der Täter seien nicht alle automatisch von den eigenen Systemen als schädlich erkannt worden. Sie hätten Nutzer zu einer gefälschten Anmeldeseite umgeleitet, um Nutzernamen, Passwörter und Einmalkennwörter abzufangen. Dabei sei schließlich ein GitHub-Konto von Dropbox geknackt worden. Die Cyberkriminellen hätten darüber auf 130 Code-Repositories zugegriffen.
“Diese Repositories enthielten unsere eigenen Kopien von Bibliotheken von Drittanbietern, die für die Verwendung durch Dropbox leicht modifiziert wurden, interne Prototypen sowie einige vom Sicherheitsteam verwendete Tools und Konfigurationsdateien. Wichtig ist, dass sie keinen Code für unsere Kernanwendungen oder unsere Infrastruktur enthielten.”
Um künftige Phishing-Angriffe abwehren zu können, kündigte Dropbox an, für die Mehrfaktorauthentifizierung auf den Standard WebAuthn umzusteigen. “Nicht alle Arten der Multi-Faktor-Authentifizierung sind gleich, und einige sind anfälliger für Phishing als andere. Während viele Unternehmen immer noch auf weniger sichere Formen der Multi-Faktor-Authentifizierung setzen – wie Push-Benachrichtigungen, Einmal-Passwörter (OTP) und zeitbasierte Einmal-Passwörter (TOTP) – ist WebAuthn derzeit der Goldstandard.”