Le service d’hébergement de fichiers Dropbox a révélé mardi avoir été victime d’une campagne de phishing qui a permis à des acteurs malveillants non identifiés d’accéder sans autorisation à 130 de ses référentiels de code source sur GitHub.
« Ces référentiels comprenaient nos propres copies de bibliothèques tierces légèrement modifiées pour être utilisées par Dropbox, des prototypes internes et certains outils et fichiers de configuration utilisés par l’équipe de sécurité », a déclaré la société. révélé dans un avis.
La violation a entraîné l’accès à certaines clés API utilisées par les développeurs de Dropbox ainsi qu’à « quelques milliers de noms et d’adresses e-mail appartenant aux employés de Dropbox, aux clients actuels et passés, aux prospects et aux fournisseurs ».
Il a cependant souligné que les référentiels ne contenaient pas de code source lié à ses applications ou infrastructure principales.
Dropbox, qui propose des services de stockage dans le cloud, de sauvegarde de données et de signature de documents, entre autres, compte plus de 17,37 millions d’utilisateurs payants et 700 millions d’utilisateurs enregistrés au Août 2022.
La divulgation intervient plus d’un mois après que GitHub et CircleCI ont mis en garde contre des attaques de phishing conçues pour voler les informations d’identification de GitHub via de fausses notifications prétendant provenir de la plate-forme CI/CD.
La société basée à San Francisco a noté que « plusieurs Dropboxers ont reçu des e-mails de phishing se faisant passer pour CircleCI » début octobre, dont certains ont échappé à ses filtres anti-spam automatisés pour atterrir dans les boîtes de réception des employés.
« Ces e-mails d’apparence légitime invitaient les employés à visiter une fausse page de connexion CircleCI, à saisir leur nom d’utilisateur et leur mot de passe GitHub, puis à utiliser leur clé d’authentification matérielle pour transmettre un mot de passe à usage unique (OTP) au site malveillant », a expliqué Dropbox.
La société n’a pas révélé le nombre de ses employés tombés dans le piège de l’attaque de phishing, mais a déclaré qu’elle avait pris des mesures rapides pour faire pivoter toutes les informations d’identification de développeur exposées et qu’elle avait alerté les autorités chargées de l’application de la loi.
Il a également déclaré n’avoir trouvé aucune preuve que des données client aient été volées à la suite de l’incident, ajoutant qu’il mettait à niveau ses systèmes d’authentification à deux facteurs pour prendre en charge clés de sécurité matérielles pour la résistance au phishing.
« Des professionnels vigilants peuvent être la proie d’un message soigneusement conçu, livré de la bonne manière au bon moment », a conclu la société. « C’est précisément pourquoi le phishing reste si efficace. »