Dropbox周一(11/1)坦承,该公司已成为网络钓鱼攻击受害者,黑客在取得员工的登录凭证之后,访问了该公司存放在GitHub上的130个存储库。值得注意的是,黑客的手法日益精进,即使Dropbox员工使用了硬件身份认证密钥,仍遭黑客入侵。
其实GitHub今年9月便曾警告,有黑客假冒持续集成与交付平台CircleCI的名义,窃取GitHub用户的凭证,虽然GitHub并未受害,但已影响许多采用GitHub的组织。
而攻击Dropbox的黑客同样也是假冒CircleCI。Dropbox说明,该公司使用GitHub来托管公开与私有存储库,也通过CircleCI进行内部部署,10月初便有许多员工收到伪装成CircleCI的网络钓鱼邮件,虽然该公司的系统会自动过滤可疑邮件,但仍有些网络钓鱼邮件进入员工信箱,这些邮件要求Dropbox员工访问一个伪造的CircleCI登录页面,以输入他们的GitHub用户名及密码,之后再要员工把硬件身份认证密钥所产生的一次性密码输入该恶意网页。
黑客即借此成功取得了一些Dropbox员工的凭证,并访问了Dropbox位于GitHub的其中一个据点,复制了130个存储库。
这些存储库存放了Dropbox所修改过的第三方程式库,Dropbox安全团队所使用的工具与配置文件,以及数千名Dropbox员工、客户及供应商的姓名及电子邮件地址,幸好并未包含Dropbox核心程序或基础设施的程序代码。
GitHub是在10月13日发现与Dropbox有关的可疑活动,并于14日通知Dropbox,也在同一天关闭了黑客的访问权限。
就算使用OTP式硬件密钥仍无法逃离被成功网络钓鱼的命运,而Dropbox其实已经开始规划WebAuthn认证机制,搭配FIDO式硬件密钥或生物识别机制来抵挡网络钓鱼攻击,预计很快就会全面部署。WebAuthn的最大优点之一是输入凭证的网页必须已存储于认证设备上,而让网络钓渔网页失去效用。