Dropbox revela que hackers le robaron 130 repositorios de GitHub con código fuente
Dropbox reveló una brecha de seguridad después de que ciberdelincuentes robaran 130 repositorios de códigos después de obtener acceso a una de sus cuentas de GitHub usando las credenciales de los empleados robadas en un ataque de phishing.
La empresa descubrió que los atacantes vulneraron la cuenta el 14 de octubre. Esto porque GitHub le notificó sobre una actividad sospechosa que comenzó un día antes de que se enviara la alerta.
“Hasta la fecha, nuestra investigación ha encontrado que el código al que accedió este actor de amenazas contenía algunas credenciales, principalmente, claves API, utilizadas por los desarrolladores de Dropbox”.
“El código y los datos que lo rodean también incluían algunos miles de nombres y direcciones de correo electrónico pertenecientes a empleados de Dropbox, clientes actuales y pasados, clientes potenciales de ventas y proveedores (por contexto, Dropbox tiene más de 700 millones de usuarios registrados)”.
Dropbox
La filtración exitosa fue el resultado de un ataque de phishing que apuntó a varios empleados de Dropbox utilizando correos electrónicos que se hacían pasar por la plataforma de entrega e integración continua de CircleCI. El ataque los redirigió a una página de inicio de phishing donde se les pidió que ingresaran su nombre de usuario y contraseña de GitHub.
En la misma página de phishing, también se les pidió a los empleados que “usaran su clave de autenticación de hardware para pasar una contraseña de un solo uso (OTP)”.
Se robaron 130 repositorios de códigos durante la filtración
Después de robar las credenciales de los usuarios de Dropbox, los atacantes obtuvieron acceso a una de las organizaciones de Dropbox en GitHub y robaron 130 de sus repositorios de código.
“Estos repositorios incluían nuestras propias copias de bibliotecas de terceros ligeramente modificadas para su uso por Dropbox. Asimismo, prototipos internos y algunas herramientas y archivos de configuración utilizados por el equipo de seguridad”.
“Es importante destacar que no incluyeron código para nuestras aplicaciones o infraestructura principales. El acceso a esos repositorios es aún más limitado y está estrictamente controlado”.
Dropbox agregó que los atacantes nunca tuvieron acceso a las cuentas, contraseñas o información de pago de los clientes, y que sus aplicaciones e infraestructura principales no se vieron afectadas como resultado de esta infracción.
Según Dropbox,en el panorama actual de amenazas en evolución, las personas se ven inundadas de mensajes y notificaciones, lo que hace que los señuelos de phishing sean difíciles de detectar. Los ciberdelincuentes han ido más allá de la simple recopilación de nombres de usuario y contraseñas, para recopilar también códigos de autenticación de múltiples factores
En respuesta al incidente, Dropbox está trabajando para proteger todo su entorno mediante WebAuthn y tokens de hardware o factores biométricos.
Antes de este incidente, ya estábamos en el proceso de adoptar esta forma de autenticación multifactor más resistente al phishing.
Sabemos que es imposible que los humanos detecten cada señuelo de phishing. Para muchas personas, hacer clic en enlaces y abrir archivos adjuntos es una parte fundamental de su trabajo. Incluso el profesional más escéptico y vigilante puede ser víctima de un mensaje cuidadosamente elaborado y entregado de la manera correcta en el momento adecuado.
Ataques a usuarios de GitHub
En septiembre, otros usuarios de GitHub también fueron objeto de un ataque similar haciéndose pasar por la plataforma CircleCI. En ese ataque les pidieron que iniciaran sesión en sus cuentas de GitHub para aceptar las condiciones del usuario y las actualizaciones de la política de privacidad para seguir usando el servicio.}
El objetivo de los atacantes era robar las credenciales de la cuenta de GitHub y los códigos de autenticación de dos factores (2FA) retransmitiéndolos a través de proxies inversos.
Es importante mencionar que las cuentas protegidas con claves de seguridad de hardware para autenticación multifactor (MFA) no eran vulnerables a este ataque.
“Si bien GitHub en sí no se vio afectado, la campaña ha impactado a muchas organizaciones de víctimas”, dijo GitHub en un aviso en ese momento.
CircleCI también publicó un aviso en sus foros para generar conciencia sobre la campaña maliciosa. Ahí explicó que la plataforma nunca pediría a los usuarios que ingresen sus credenciales para ver los cambios en sus términos de servicio.
Después de obtener credenciales de cuentas válidas, los atacantes crean tokens de acceso personal (PAT), autorizan aplicaciones OAuth. Asimismo, otras veces, agregan claves SSH a la cuenta para que persistan incluso después de un restablecimiento de contraseña.
Si la cuenta comprometida tiene permisos de administración de la organización, los hackers crean nuevas cuentas de usuario y las agregan a la organización para mantener la persistencia.
GitHub dijo que detectó la exfiltración de contenido de repositorios privados casi inmediatamente después del compromiso. Además, los ciberdelincuentes usaron VPNs o servicios de proxy para dificultar su rastreo.
Desde aquel incidente, GitHub suspendió cuentas donde pudo identificar signos de fraude. La plataforma también restableció las contraseñas de los usuarios afectados, quienes vieron notificaciones personalizadas sobre el incidente.
Medidas para evitar este tipo de ataques
Ante este tipo de incidentes, GitHub también sugiere las siguientes comprobaciones de seguridad que todos los usuarios deben realizar regularmente. El objetivo es garantizar que los hackers sigilosos no comprometan las cuentas.
- Habilitar la autenticación de dos factores en tu cuenta para que el acceso requiera algo más que una contraseña.
- Revisar las claves SSH , implementar claves e integraciones autorizadas y revocar el acceso no autorizado o desconocido en las configuraciones de SSH y aplicaciones.
- Verificar todas las direcciones de correo electrónico . Si un atacante agregó su dirección de correo electrónico a tu cuenta, podría permitirle forzar un restablecimiento de contraseña no deseado.
- Revisar el registro de seguridad de tu cuenta . Esto proporciona una descripción general de varias configuraciones realizadas en tus repositorios. Por ejemplo, puedes asegurarte de que ningún repositorio privado se haya convertido en público o que no se haya transferido ningún repositorio.
- Revisar los webhooks en tus repositorios. Los webhooks podrían permitir que un atacante intercepte las inserciones realizadas en tu repositorio.
- Asegúrate de que no se crearon nuevas claves de implementación. Esto podría permitir el acceso de servidores externos a tus proyectos.
- Revisar las confirmaciones recientes realizadas en tus repositorios.
- Revisar la lista de colaboradores de cada repositorio.