Xakep #305. Многошаговые SQL-инъекции
Компания Dropbox сообщила о хакерской атаке, которой ее сотрудники подверглись еще в середине октября. С помощью фишинга злоумышленники сумели получить доступ к одной из GitHub-организаций компании, а затем похитили данные из 130 репозиториев.
Инцидент произошел 14 октября 2022 года, и был связан с масштабной фишинговой кампанией, о которой ранее предупреждали представители GitHub. Напомню, что в рамках этой схемы мошенники рассылали письма с фальшивыми уведомлениями от лица сервиса Circle CI, который используется для непрерывной разработки и деплоя.
В этих посланиях получателей, к примеру, уведомляли об изменениях в политике конфиденциальности и условиях использования, из-за чего людям якобы требовалось войти в свою учетную запись GitHub и принять изменения. Как нетрудно догадаться, целью злоумышленников был сбор учетных данных от GitHub и одноразовых паролей (OTP) двухфакторной аутентификации, которые передавались атакующим через обратные прокси.
Dropbox сообщает, что один из сотрудников компании попался на уловку из такого письма, выглядевшего в точности как настоящее. В результате атакующие получили доступ к одной из учетных записей компании на GitHub.
«У злоумышленника не было доступа к содержимому чьих-либо учетных записей Dropbox, паролям или платежной информации. На сегодняшний день наше расследование показало, что код, к которому обращался атакующий, содержал лишь некоторые учетные данные (в основном, ключи API), используемые разработчиками Dropbox.
Код и связанные с ним данные также включали несколько тысяч имен и адресов электронной почты, принадлежащих сотрудникам Dropbox, текущим, прошлым и потенциальным клиентам (для контекста: в Dropbox зарегистрировано более 700 млн пользователей).
Мы серьезно относимся к защите конфиденциальности наших клиентов, партнеров и сотрудников, и хотя мы полагаем, что риск для них минимален, мы уже уведомили всех пострадавших», — заявляют в Dropbox.
Представители компании пишут, что получив доступ к одной из учетных записей компании на GitHub, злоумышленники сумели проникнуть в одну из GitHub-организаций Dropbox, откуда в итоге скопировали 130 репозиториев.
В этих репозиториях содержались «копии сторонних библиотек, слегка модифицированные для использования в Dropbox, внутренние прототипы, ряд инструментов и файлы конфигурации, используемые командой безопасности». Подчеркивается, что в репозиториях не было кода основных приложений или инфраструктуры, а доступ к таким репозиториям ограничен и строго контролируется.
Сразу после обнаружения подозрительной активности, доступ атакующих к GitHub был отключен. Специалисты Dropbox по безопасности обновили все скомпрометированные учетные данные разработчиков и определили, какие данные клиентов были доступны или украдены. В настоящее время компания работает над внедрением WebAuthn, которое было начато еще до инцидента, а теперь будет ускорено.