Mới đây, Dropbox đã thông báo về một vụ vi phạm bảo mật. Các tác nhân đe dọa đã sử dụng thông tin đăng nhập của nhân viên mà chúng có được thông qua lừa đảo để đăng nhập vào một trong các tài khoản Github của Dropbox, nơi mà chúng đánh cắp 130 mã nguồn ứng dụng.
Cả một số kho riêng của Dropbox và kho công khai của nó đều được lưu trữ trên GitHub. Ngoài ra, họ sử dụng CircleCI cho một số triển khai nội bộ. Đầu tháng 10, các email lừa đảo giả mạo từ CircleCI đã được gửi đến nhiều nhân viên Dropbox với mục tiêu đánh cắp tài khoản GitHub (một người có thể sử dụng thông tin đăng nhập GitHub của họ để đăng nhập vào CircleCI).
Trong khi một số email này đã được hệ thống bảo mật tự động cách ly, những email khác lại tìm được đường vào hộp thư đến của nhân viên. Những email thuyết phục này đã hướng dẫn người nhận truy cập trang đăng nhập CircleCI hư cấu, đăng nhập bằng thông tin đăng nhập GitHub của họ và sau đó sử dụng khóa xác thực vật lý của họ để truy cập hệ thống.
Thông qua trang đăng nhập CircleCI giả mạo, nhân viên được hướng dẫn nhập tên người dùng và mật khẩu GitHub của họ trước khi sử dụng khóa xác thực vật lý để gửi Mật khẩu dùng một lần (OTP) đến trang web lừa đảo. Các tác nhân độc hại cuối cùng đã có được quyền truy cập vào một trong các nhóm GitHub thông qua việc này, và sau đó chúng đã sao chép 130 kho lưu trữ mã nguồn của chúng vào đó. Các tài nguyên nội bộ, bản sao lưu của thư viện bên thứ ba đã được Dropbox sửa đổi để sử dụng, cũng như một số công cụ và file cấu hình mà nhóm bảo mật cẩn đều được lưu trữ trong kho này.
Tài khoản Dropbox, mật khẩu hoặc chi tiết thanh toán của nhân viên không thể bị hacker tấn công dễ dàng. Tại thời điểm này, nghiên cứu đã chỉ ra rằng một số thông tin xác thực – chủ yếu là khóa API – được các nhà phát triển Dropbox sử dụng đã được đưa vào mã nguồn mà các tác nhân độc hại này có thể truy cập. Một vài nghìn tên và địa chỉ email của nhân viên Dropbox, khách hàng, khách hàng tiềm năng và nhà cung cấp cũng được chứa trong mã nguồn và dữ liệu xung quanh nó (Dropbox có hơn 700 triệu người dùng đã đăng ký).
Việc xác định và chống lại mọi kỹ thuật lừa đảo là một việc bất khả thi. Công việc của nhân viên yêu cầu họ thường xuyên click vào các link và download các file đính kèm. Ngay cả các chuyên gia cảnh giác và cẩn thận nhất cũng có nguy cơ bị lừa bởi một thông điệp được chuẩn bị khéo léo và phát tán vào thời điểm lý tưởng. Việc hạn chế về mặt công nghệ và đặc biệt là đào tạo nâng cao nhận thức về an ninh mạng là một trong những lý do chính giải thích tại sao lừa đảo vẫn luôn thành công. Các mối đe dọa phức tạp hơn ngày càng phát triển, các biện pháp này càng đóng vai trò quan trọng hơn.
Nguồn: https://www.securitynewspaper.com/
