Dropbox Ungkap Pelanggaran Setelah Hacker Curi 130 Repositori GitHub
Ilustrasi Bleeping Computer
Cyberthreat.id – Dropbox mengungkapkan pelanggaran keamanan setelah pelaku ancaman mencuri 130 repositori kode setelah mendapatkan akses ke salah satu akun GitHub-nya menggunakan kredensial karyawan yang dicuri dalam serangan phishing.
Perusahaan menemukan penyerang melanggar akun pada 14 Oktober ketika GitHub memberi tahunya tentang aktivitas mencurigakan yang dimulai satu hari sebelum peringatan dikirim.
"Hingga saat ini, penyelidikan kami menemukan bahwa kode yang diakses oleh pelaku ancaman ini berisi beberapa kredensial—terutama, kunci API—yang digunakan oleh pengembang Dropbox," ungkap Dropbox, Selasa dikutip dari Bleeping Computer.
Mereka menambahkan, kode dan data di sekitarnya juga mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor (untuk konteksnya, Dropbox memiliki lebih dari 700 juta pengguna terdaftar).
Pelanggaran yang berhasil dihasilkan dari serangan phishing yang menargetkan beberapa karyawan Dropbox menggunakan email yang meniru platform integrasi dan pengiriman berkelanjutan CircleCI dan mengarahkan mereka ke halaman arahan phishing di mana mereka diminta untuk memasukkan nama pengguna dan kata sandi GitHub mereka.
Pada halaman phishing yang sama, karyawan juga diminta untuk "menggunakan kunci otentikasi perangkat keras mereka untuk memberikan One Time Password (OTP)."
130 Repositori Kode Dicuri Selama Pelanggaran
Setelah mencuri kredensial Dropbox, penyerang memperoleh akses ke salah satu organisasi GitHub Dropbox dan mencuri 130 repositori kodenya.
Repositori ini termasuk salinan perpustakaan pihak ketiga yang sedikit dimodifikasi untuk digunakan oleh Dropbox, prototipe internal, dan beberapa alat dan file konfigurasi yang digunakan oleh tim keamanan.
"Yang penting, mereka tidak menyertakan kode untuk aplikasi atau infrastruktur inti kami. Akses ke repositori itu bahkan lebih terbatas dan dikontrol dengan ketat.” kata Perusahaan.
Dropbox lanjutkan, bahwa penyerang tidak pernah memiliki akses ke akun pelanggan, kata sandi, atau informasi pembayaran, dan aplikasi serta infrastruktur intinya tidak terpengaruh akibat pelanggaran ini.
Menanggapi insiden tersebut, Dropbox berupaya mengamankan seluruh lingkungannya menggunakan WebAuthn dan token perangkat keras atau faktor biometrik.
Pada bulan September, pengguna GitHub lainnya juga menjadi sasaran dalam serangan serupa yang meniru platform CircleCI dan meminta mereka untuk masuk ke akun GitHub mereka untuk menerima persyaratan pengguna dan pembaruan kebijakan privasi untuk tetap menggunakan layanan.
"Sementara GitHub sendiri tidak terpengaruh, kampanye tersebut telah berdampak pada banyak organisasi korban," kata GitHub dalam sebuah nasihat saat itu.
GitHub mengatakan mendeteksi eksfiltrasi konten dari repositori pribadi segera setelah kompromi, dengan pelaku ancaman menggunakan VPN atau layanan proxy untuk membuat pelacakan lebih sulit.
