Dropbox漏洞：黑客未经授权访问了130个GitHub源代码库

文件托管服务Dropbox周二披露，它是一场网络钓鱼活动的受害者，该活动允许未经授权的威胁参与者访问GitHub上的130个源代码库。

该公司在一份咨询中透露：“这些存储库包括我们自己的第三方库副本、内部原型以及安全团队使用的一些工具和配置文件。

该漏洞导致Dropbox开发人员使用了一些API密钥，以及“属于Dropbox员工、当前和过去客户、销售线索和供应商的数千个姓名和电子邮件地址”。

然而，它强调，这些存储库不包含与其核心应用程序或基础设施相关的源代码。

Dropbox提供云存储、数据备份和文档签名服务等，截至2022年8月，其付费用户超过1737万，注册用户超过7亿。

一个多月前，GitHub和CircleCI都警告称，网络钓鱼攻击旨在通过声称来自CI/CD平台的虚假通知窃取GitHub凭据。

这家位于旧金山的公司指出，10月初，“多个Dropbox用户收到了冒充CircleCI的钓鱼电子邮件”，其中一些邮件通过其自动垃圾邮件过滤器进入员工的电子邮件收件箱。

Dropbox解释说：“这些看起来很合法的电子邮件指示员工访问一个假的CircleCI登录页面，输入他们的GitHub用户名和密码，然后使用他们的硬件身份验证密钥将一次性密码（OTP）传递给恶意网站”。

该公司没有透露有多少员工死于网络钓鱼攻击，但表示已迅速采取行动，对所有暴露的开发者证书进行了轮换，并向执法部门发出了警告。

该公司还表示，没有发现任何证据表明该事件导致任何客户数据被盗，并补充称，该公司正在升级双因素身份验证系统，以支持硬件安全密钥，以防网络钓鱼。

该公司总结道：“即使是最怀疑、最警觉的专业人士，也可能会在正确的时间以正确的方式传递出精心制作的信息”。“这正是网络钓鱼仍然如此有效的原因”。

Dropbox通知发布之际，美国网络安全与基础设施安全局（CISA）发布了实施防钓鱼多因素身份验证（MFA）的指南，以防范钓鱼和其他已知网络威胁。

该机构表示：“如果使用基于移动推送通知的MFA的组织无法实施防钓鱼MFA，CISA建议使用号码匹配来减轻MFA的疲劳”。