El servicio de almacenamiento en la nube Dropbox ha estado compartiendo detalles de cómo fue atacado con éxito por una campaña de phishing en la que un actor de amenazas se hizo pasar por la plataforma de integración y entrega de código CircleCI para acceder a una de sus cuentas de GitHub y comprometer el código y los datos.
La información a la que se accedió incluía claves de API utilizadas por los desarrolladores de Dropbox y datos que incluían los nombres y las direcciones de correo electrónico de un número muy limitado de empleados, clientes, clientes potenciales y proveedores, descritos como miles.
GitHub había advertido previamente contra una campaña de phishing similar en la que los actores de amenazas se hicieron pasar por CircleCI en sus señuelos de phishing.
“No se accedió al contenido, las contraseñas o la información de pago de nadie, y el problema se resolvió rápidamente”, dijo un portavoz de Dropbox. “Nuestras aplicaciones e infraestructura principales tampoco se vieron afectadas, ya que el acceso a este código es aún más limitado y está estrictamente controlado.
“Creemos que el riesgo para los clientes es mínimo. En ningún momento este actor de amenazas tuvo acceso al contenido de la cuenta de Dropbox de nadie, su contraseña o su información de pago”.
La firma agregó: “Nos tomamos en serio nuestro compromiso de proteger la privacidad de nuestros clientes, socios y empleados, y aunque creemos que cualquier riesgo para ellos es mínimo, hemos notificado a los afectados”.
La brecha salió a la luz a mediados de octubre cuando varios “usuarios de Dropbox” recibieron correos electrónicos que parecían ser de CircleCI, que es utilizado por Dropbox para “implementaciones internas seleccionadas”. Algunos de estos correos electrónicos fueron interceptados y puestos en cuarentena, pero otros llegaron a través de la red cibernética de Dropbox.
Los correos electrónicos dirigían a sus destinatarios a visitar una página de inicio de sesión falsa de CircleCI, ingresar su nombre de usuario y contraseña de GitHub y luego usar su clave de autenticación de hardware para pasar una contraseña de un solo uso al sitio malicioso. En un caso, el actor de amenazas tuvo éxito y desde allí pudo copiar 130 repositorios de código.
GitHub alertó a Dropbox el 14 de octubre, y el actor de amenazas fue expulsado ese mismo día, después de lo cual el equipo de seguridad de Dropbox tomó medidas rápidas para rotar las credenciales expuestas y determinar a qué datos se accedió.
Hasta la fecha, sus investigaciones y monitoreo, con el apoyo de un equipo forense cibernético externo, no han encontrado evidencia de abuso exitoso de los datos expuestos.
“Sabemos que es imposible que los humanos detecten cada señuelo de phishing”, dijo la firma. “Para muchas personas, hacer clic en enlaces y abrir archivos adjuntos es una parte fundamental de su trabajo. Incluso el profesional más escéptico y vigilante puede ser víctima de un mensaje cuidadosamente elaborado y entregado de la manera correcta en el momento adecuado. Esta es precisamente la razón por la que el phishing sigue siendo tan eficaz y por la que los controles técnicos siguen siendo la mejor protección contra este tipo de ataques. A medida que las amenazas se vuelven más sofisticadas, más importantes se vuelven estos controles.
“Nuestros equipos de seguridad trabajan incansablemente para mantener a Dropbox digno de la confianza de nuestros clientes. Si bien la información a la que accedió este actor de amenazas fue limitada, nos mantenemos en un estándar más alto. Lamentamos habernos quedado cortos y pedimos disculpas por cualquier inconveniente”.
Como resultado del ataque cibernético, ahora se sabe que Dropbox está avanzando en la adopción de WebAuthn para la gestión de credenciales, que describió como el “estándar de oro” de la autenticación multifactor (MFA). Ya se había embarcado en la adopción de WebAuthn MFA antes del ataque y se lo ofrece a los clientes si lo desean.
“El phishing sigue creciendo en popularidad entre los piratas informáticos a medida que mejoran otras medidas de seguridad sin dejar de ser efectivos y baratos”, dijo Martin Jartelius, director de seguridad de Outpost24.
“Hay algunas cosas que se pueden hacer para eludir esas amenazas específicas, incluido el uso de administradores de contraseñas que están integrados en el navegador donde el administrador de contraseñas no tendrá un dominio coincidente y, por lo tanto, no enviará una contraseña en casos de phishing, o el uso de YubiKeys que validan la reivindicación de la identidad del sitio por el segundo factor con el mismo efecto.”
Jartelius agregó: “Lo que podemos notar aquí que es positivo es que, si bien el usuario afectado tenía acceso a los repositorios disponibles para la mayoría de los desarrolladores de la organización, esto no incluía los repositorios de productos principales. La parte menos importante es que los datos personales tanto del personal como de los socios se almacenaron en repositorios git. Con suerte, esto solo se relaciona con la información de contacto relevante para los desarrolladores, pero a partir de la información publicada, esto no está del todo claro”.
Sam Curry, director de seguridad de Cybereason, dijo que el papel principal de Dropbox como un “súper agregador de datos” lo convirtió en un objetivo atractivo y potencialmente muy lucrativo para los actores de amenazas, lo que hizo que Dropbox tuviera la responsabilidad de hacerse más difícil de atacar.
“Incluso si hacen mejor la seguridad, tienen que hacerlo mucho mejor que una empresa normal de su tamaño e ingresos para evitar ser una víctima”, dijo Curry.
“Parece que Dropbox conoce sus propias debilidades y tiene planes que están acelerando para mejorar la seguridad de la identidad y fortalecer la autenticación y la autorización.
“Mi consejo es seguir adelante, buscar puntos únicos de falla, ser lo más transparente posible después de un incidente, actualizar las evaluaciones de riesgo, aprender esas lecciones, continuar actuando teniendo en cuenta a los clientes y socios ante todo. La historia te verá como un héroe o un villano, nunca como una víctima, así que toma decisiones para ser el héroe”.