Dropbox räumt einen Phishing-Angriff ein. Ein Hacker stahl API-Anmeldeinformationen und kopierte Code aus 130 seiner GitHub-Repositories.
Dropbox, ein Datei-Hosting-Dienst, der von der amerikanischen Firma Dropbox, Inc. mit Hauptsitz in San Francisco, Kalifornien, USA, betrieben wird, gibt eine Datenschutzverletzung bekannt. Nach einem erfolgreich ausgeführten Phishing-Angriff gelang es einem Hacker, sich Zugang zu einem ihrer GitHub-Konten zu verschaffen und somit auf 130 Code-Repositories zuzugreifen. Zudem entwendete er einige API-Zugangsdaten.
Wie der Cloud-Speicherdienst am Dienstag bekannt gab, hätte niemand auf Inhalte, Passwörter oder Zahlungsinformationen zugegriffen. Somit konnten sie das Problem schnell in den Griff bekommen. Dropbox nutze GitHub sowohl für das Hosting von öffentlichen Repositories, als auch für einige nichtöffentliche Repositories. Das Unternehmen beteuert hierbei: „Wir glauben, dass das Risiko für die Kunden minimal ist.„
„Bisher hat unsere Untersuchung ergeben, dass der Code, auf den dieser Bedrohungsakteur Zugriff hatte, einige Anmeldeinformationen – vor allem API-Schlüssel – enthielt, die von Dropbox-Entwicklern verwendet wurden. Der Code und die damit verbundenen Daten enthielten auch einige tausend Namen und E-Mail-Adressen von Dropbox-Mitarbeitern, aktuellen und ehemaligen Kunden, Interessenten und Anbietern (Dropbox hat mehr als 700 Millionen registrierte Nutzer).”
Das Sicherheitsproblem bemerkte Microsofts GitHub bereits am 13. Oktober. Die dortigen Mitarbeiter stellten verdächtiges Verhalten im Dropbox-Unternehmenskonto fest. GitHub informierte Dropbox gleich am folgenden Tag darüber.
Phishing-E-Mails vorgeblich von CircleCI dienten als Köder zum Code-Diebstahl aus GitHub-Repositories von Dropbox
Infolge untersuchte der Cloud-Speicheranbieter das Problem und stellte fest, dass sie einem Phishing-Angriff zum Opfer fielen. Der Phisher gab sich dabei als die Continuous Integration and Delivery-Plattform CircleCI aus. Dropbox informierte darüber, dass sie noch am gleichen Tag nach Kenntnisnahme über die verdächtige Aktivität, den Zugriff des Angreifers auf GitHub deaktivierten. Auch die Sicherheitsteams haben daraufhin sofort Maßnahmen eingeleitet, wie eine Überprüfung der Protokolle. Dies ergab keine Hinweise auf erfolgreichen Missbrauch. Zudem wurden externe forensische Experten beauftragt, die Ergebnisse zu überprüfen. Das Unternehmen meldete den Vorfall den zuständigen Aufsichts- und Strafverfolgungsbehörden.
Dropbox nutzt CircleCI „für ausgewählte interne Bereitstellungen“. Die Mitarbeiter verwenden ihre GitHub-Konten, um auf die privaten Code-Repos zuzugreifen. Ihre GitHub-Anmeldedaten verschaffen ihnen zudem Zugang zu CircleCI. Wenn der Hacker folglich die GitHub-Anmeldedaten eines Mitarbeiters erhielt, indem er sich als CircleCI ausgab, kann er diese Informationen dann dazu verwenden, um in die GitHub-Konten von Dropbox zu gelangen. Der Zugang ist nun frei auf die Repositories.
Noch drei Wochen vor diesem Angriff warnte GitHub vor Phishing-Kampagnen, bei denen sich die Angreifer als CircleCI ausgaben. Bereits Anfang Oktober erhielten dann auch Dropbox-Mitarbeiter E-Mails, die angeblich von CircleCI kamen. Ein oder mehrere Mitarbeiter fielen auf den Betrug herein. Dabei gelang es dem Hacker, ein GitHub-Konto zu erbeuten. Der Hacker konnte darüber auf 130 Code-Repositories zugreifen. Dropbox teilte mit:
„Diese legitim aussehenden E-Mails forderten die Mitarbeiter auf, eine gefälschte CircleCI-Anmeldeseite zu besuchen, ihren GitHub-Benutzernamen und ihr Passwort einzugeben und dann ihren Hardware-Authentifizierungsschlüssel zu verwenden, um ein Einmal-Passwort (OTP) an die bösartige Seite zu übermitteln. Diese Website sammelte die eingegebenen Anmeldedaten, sodass sich die Angreifer mit diesen Informationen in das GitHub-Konto des Opfers einloggen und in die Arbeits-Repos eindringen konnten. […] Diese Repositories enthielten unsere eigenen Kopien von Drittanbieter-Bibliotheken, die für die Verwendung durch Dropbox leicht modifiziert wurden, interne Prototypen und einige Tools und Konfigurationsdateien, die vom Sicherheitsteam verwendet wurden. Wichtig ist, dass sie keinen Code für unsere Kern-Apps oder -Infrastruktur enthielten. Der Zugriff auf diese Repositories ist noch eingeschränkter und strenger kontrolliert.“
Als Reaktion auf den Vorfall arbeitet Dropbox daran, für die Mehrfaktorauthentifizierung auf den Standard WebAuthn umzusteigen:
„Nicht alle Arten der Multi-Faktor-Authentifizierung sind gleich und einige sind anfälliger für Phishing als andere. Während sich viele Organisationen immer noch auf weniger sichere Formen der Multi-Faktor-Authentifizierung verlassen – wie Push-Benachrichtigungen, Einmalkennwörter (OTP) und zeitbasierte Einmalkennwörter (TOTP) – ist WebAuthn derzeit der Goldstandard.“