Service de stockage cloud, Dropbox révèle avoir été la cible d’une campagne de phishing grâce à laquelle des attaquants ont pu avoir accès à une partie de son code. En l’occurrence, via quelque 130 dépôts de code sur GitHub.
Dropbox assure que les attaquants n’ont pas eu accès à du contenu, des mots de passe ou des informations de paiement d’utilisateurs de son service. Dropbox revendique plus de 700 millions d’utilisateurs enregistrés.
Par contre et sur le plan des données personnelles, les attaquants ont été en mesure de récupérer » quelques milliers de noms et d’adresses email appartenant à des employés de Dropbox, des clients actuels et passés, des prospects et des vendeurs. «
Une campagne de phishing
Dropbox indique avoir eu connaissance de l’incident de sécurité le 14 octobre, à la suite d’un signalement par GitHub. En septembre, GitHub avait du reste alerté au sujet d’une nouvelle campagne de phishing ciblant certains de ses utilisateurs.
Les attaquants ont envoyé des emails de phishing à plusieurs employés de Dropbox, afin de les diriger vers une fausse page de connexion, en usurpant l’identité de CircleCI qui est une plateforme d’intégration continue et de déploiement continu pour la vérification et validation de code source.
La fausse page a permis de recueillir des noms d’utilisateur et des mots de passe GitHub, et en invitant les employés Dropbox piégés à avoir recours à leur clé d’authentification matérielle pour transmettre un mot de passe à usage unique.
Dont acte pour Dropbox
Les dépôts GitHub comprenaient » des copies de bibliothèques tierces légèrement modifiées pour être utilisées par Dropbox, des prototypes internes, certains outils et fichiers de configuration utilisés par l’équipe de sécurité. «
Dropbox souligne que les dépôts GitHub ne comprenaient pas le code de ses applications principales ou de son infrastructure de base. Pour de tels éléments, le contrôle d’accès est plus draconien.
Avec son exercice de transparence, Dropbox reconnaît ne pas avoir utilisé la méthode d’authentification à plusieurs facteurs la plus robuste dans le but de faire face à du phishing. Ce sera bientôt le cas sous l’égide d’une sécurisation par WebAuthn avec des jetons matériels ou des facteurs biométriques.