云存储平台 Dropbox 最近公开了他们遭遇的严重安全事件,黑客通过网络钓鱼的方式获得其 GitHub 账户的访问权,导致 130 个私有的代码仓库被盗。
据 Dropbox 称,这些仓库包括为了公司内部使用而略加修改的第三方库的副本、内部原型以及他们的安全团队使用的一些工具和配置文件。幸运的是,Dropbox 的核心应用程序或基础设施的代码没有受到该事件的影响,仓库也不包括他们用户的 Dropbox 账户、密码或支付信息等内容。
虽然 Dropbox 近日才公布这一消息,但此次安全事件实际上早在 10 月 14 日就发生了,而且此次事件并不是由 Dropbox 首先发现,而是 GitHub 注意到前一天开始 Dropbox 存在可疑的账户行为而向后者发出了提醒。在后续的调查中,Dropbox 发现有黑客正在冒充 CircleCI 向 Dropbox 员工发送钓鱼邮件,CircleCI 是不少 Dropbox 员工都在使用的代码集成和交付平台(邮件截图如下)。
在钓鱼信息中,黑客要求 Dropbox 的员工通过 CircleCI 登录他们的 GitHub 账户,并接受新的使用条款和隐私政策以继续使用该服务。如果他们点击信息上的链接,将会跳转到一个要求输入 GitHub 用户名和密码的网站,之后这些登录信息将会发送给黑客。
虽然这看起来就是一起十分常规的钓鱼邮件,里面也没有用到什么特别的尖端技巧,对于受影响的开发者来说,他们理应也能注意到钓鱼邮件指向的网址和官方网站的差别,但这次网络钓鱼还就是成功了。
Dropbox 目前已经通过内部审查和聘请外部专家共同研究方案来应对攻击,Dropbox 也向监管机构和执法部门报告了此次事件。Dropbox 还计划将身份验证切换到 WebAuthn 登录标准,通过硬件令牌或生物特征因素加强保护。