Dropboxが130のGitHubリポジトリからコードを盗まれた被害を公表
クラウドストレージサービスのDropboxが、フィッシングによりGitHubに保存されているコードの一部を盗み出されたことを公表しました。Dropboxによると、今回のデータ侵害によるユーザーの個人情報の流出は一切なく、流出したコードはDropboxのコアアプリおよびインフラストラクチャに影響を及ぼすものではないと説明しています。
How we handled a recent phishing incident that targeted Dropbox - Dropbox
https://dropbox.tech/security/a-recent-phishing-campaign-targeting-dropbox
Dropbox discloses breach after hacker stole 130 GitHub repositories
https://www.bleepingcomputer.com/news/security/dropbox-discloses-breach-after-hacker-stole-130-github-repositories/
2022年9月、GitHubはユーザーを標的とするフィッシング攻撃に関する警告を行いました。この攻撃では、攻撃者がコード統合および配信プラットフォームであるCircleCIになりすまし、GitHubアカウントにアクセスしようとしていることが報告されています。
2022年10月14日、GitHubが不審な挙動についてDropboxに警告。Dropboxがこの不審な挙動について調査を行ったところ、前述のフィッシング攻撃と同じようにCircleCIを装う攻撃者がDropboxの保有するGitHubアカウントにアクセスしていたことが判明します。
調査の結果、この攻撃者がDropboxユーザーの保存データ・パスワード・支払い情報にアクセスすることはなかったと判明。攻撃者がアクセスできたのは、Dropboxの開発者が使用する資格情報(主にAPIキー)で、コード・Dropboxの従業員情報・顧客リスト・セールスリード・ベンダーの個人情報などが含まれていたそうです。そのため、「リスクは最小限であると考えているものの、影響を受ける人には通知を行いました」とDropboxは説明しています。
DropboxではGitHubを使用してパブリックリポジトリとプライベートリポジトリをホストしており、一部の内部デプロイメントにはCircleCIを使用しています。2022年10月初旬、複数のDropboxユーザーがCircleCIになりすましたフィッシングメールを受信。このフィッシングメールはDropboxのGitHubアカウントへの不正アクセスを狙ったもので、GitHubの資格情報を使用してCircleCIにログインできるアカウントに送信されていました。
Dropboxのシステムはこれらのメールの一部を自動的に隔離しましたが、残りのメールはDropbox従業員の受信トレイに届いたそうです。これらのメールには「偽のCircleCIログインページ」へのURLが記載されており、ここからGitHubアカウントのユーザー名およびパスワード、ハードウェア認証キーを用いたワンタイムパスワードを盗み取った模様。これにより、攻撃者はDropboxが運用する130ものGitHubリポジトリにアクセス可能となったそうです。
攻撃者がアクセス可能となったGitHubリポジトリには、サードパーティーライブラリの独自コピー、内部で開発中のプロトタイプアプリ、セキュリティチームが使用するいくつかのチーム構成ファイルが含まれていたそうです。Dropboxは「重要なのはコアアプリやインフラストラクチャ関連コードが含まれていなかったことです。これらのリポジトリへのアクセスはさらに制限されており、厳密に管理されています」と記しました。
GitHubから不審な挙動に関する通知を受けたのち、Dropboxはただちに攻撃者のGitHubへのアクセスを遮断。Dropboxのセキュリティチームは公開されたすべての開発者資格情報のローテーションを調整し、アクセスまたは盗まれた顧客データを特定するために直ちに行動を起こしました。Dropboxは「ログを確認しましたが、不正アクセスされたデータが悪用された形跡は見つかっていません」と記しています。
Dropboxは今後同じようなことが起きないように、WebAuthnの採用プロセスを加速させるとしています。
・関連記事
会ったこともなかった2人が何千億円も稼ぐ「Dropbox」を生み出す - GIGAZINE
1億7000万円ものコストダウンを機械学習で達成したDropbox、一体どんな方法を取ったのか? - GIGAZINE
Dropboxが同期エンジンを全面的に改良、新エンジンはどこが改善されているのか? - GIGAZINE
最大100GBのファイルを転送できる「Dropbox Transfer」が正式に実装スタート - GIGAZINE
Dropboxが複数の人から大容量ファイルを一気に集められる新機能「ファイル リクエスト」を公開 - GIGAZINE
・関連コンテンツ
in ネットサービス, セキュリティ, Posted by logu_ii
You can read the machine translated English article Dropbox announces damage stolen from 130….