Nach Phishing-Angriff: Hacker erbeuten GitHub-Code von Dropbox

Dropbox hat bestätigt, dass es das Ziel eines Phishing-Angriffs war. Den unbekannten Tätern gelang es demnach, Zugang zu Code von Dropbox zu erhalten, der auf GitHub gespeichert war. Der Cloud-Storage-Anbieter betont, es seien weder Inhalte von Nutzern noch Kennwörter oder Bezahlinformationen kompromittiert worden. Zudem sei das entstandene Sicherheitsleck schnell geschlossen worden.

Auch die Apps von Dropbox sowie die Infrastruktur des Unternehmens seien nicht betroffen gewesen, heißt es in einer Pressemitteilung. Der Zugang zu diesem Code sei sehr begrenzt und werde streng kontrolliert.

Der Vorfall selbst ereignete sich bereits am 13. Oktober. Auf den Einbruch wurde Dropbox von GitHub am 14. Oktober hingewiesen. Laut Dropbox nutzten die Cyberkriminellen eine Angriffsmethode, die im September bereits gegen GitHub eingesetzt wurde. So sei es den Tätern möglich gewesen, die Kontrolle über Dropbox-Konten auf GitHub zu übernehmen und auch eine Multifaktor-Authentifizierung zu überwinden.

Hacker erhalten Zugang zu 130 Code-Repositories

“Zu keinem Zeitpunkt hatte dieser Bedrohungsakteur Zugriff auf den Inhalt des Dropbox-Kontos einer Person, ihr Passwort oder ihre Zahlungsinformationen”, erklärte Dropbox. “Bisher hat unsere Untersuchung ergeben, dass der Code, auf den dieser Bedrohungsakteur Zugriff hatte, einige Anmeldeinformationen – vor allem API-Schlüssel – enthielt, die von Dropbox-Entwicklern verwendet wurden. Der Code und die damit verbundenen Daten enthielten auch einige tausend Namen und E-Mail-Adressen von Dropbox-Mitarbeitern, aktuellen und ehemaligen Kunden, Interessenten und Anbietern (Dropbox hat mehr als 700 Millionen registrierte Nutzer).”

Dropbox nutze GitHub in erster Linie für das Hosting von öffentlichen Repositories, aber auch für einige nichtöffentliche Repositories, ergänzte das Unternehmen. Die Phishing-E-Mails der Täter seien nicht alle automatisch von den eigenen Systemen als schädlich erkannt worden. Sie hätten Nutzer zu einer gefälschten Anmeldeseite umgeleitet, um Nutzernamen, Passwörter und Einmalkennwörter abzufangen. Dabei sei schließlich ein GitHub-Konto von Dropbox geknackt worden. Die Cyberkriminellen hätten darüber auf 130 Code-Repositories zugegriffen.

“Diese Repositories enthielten unsere eigenen Kopien von Bibliotheken von Drittanbietern, die für die Verwendung durch Dropbox leicht modifiziert wurden, interne Prototypen sowie einige vom Sicherheitsteam verwendete Tools und Konfigurationsdateien. Wichtig ist, dass sie keinen Code für unsere Kernanwendungen oder unsere Infrastruktur enthielten.”

Um künftige Phishing-Angriffe abwehren zu können, kündigte Dropbox an, für die Mehrfaktorauthentifizierung auf den Standard WebAuthn umzusteigen. “Nicht alle Arten der Multi-Faktor-Authentifizierung sind gleich, und einige sind anfälliger für Phishing als andere. Während viele Unternehmen immer noch auf weniger sichere Formen der Multi-Faktor-Authentifizierung setzen – wie Push-Benachrichtigungen, Einmal-Passwörter (OTP) und zeitbasierte Einmal-Passwörter (TOTP) – ist WebAuthn derzeit der Goldstandard.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

23 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago