Dropbox reveló este martes que sufrió una brecha de datos en la que actores malintencionados obtuvieron acceso a código fuente e información personal perteneciente a empleados y clientes. Todo habría comenzado con un phishing.
La plataforma de alojamiento de archivos afirmó que se enteró de la brecha el 14 de octubre, luego de ser alertados por GitHub. Semanas previas, esta misma compañía había sido advertida sobre algunos usuarios víctimas de una campaña de phishing, el cual suplantaba la plataforma CircleCI con el objetivo de obtener credenciales y códigos de autenticación de dos factores.
En el caso de Dropbox fue víctima de un ataque similar al de GitHub, ya que múltiples empleados recibieron correos de phishing, dirigiéndolos a sitios web falsos de CircleCI configurados para recopilar sus credenciales y contraseñas de un solo uso para la autenticación de múltiples factores (MFA).
El ataque fue exitoso y se logró acceder a una de las organizaciones en GitHub de Dropbox, desde donde copiaron 130 repositorios de código.
“Estos repositorios incluían nuestras propias copias de bibliotecas de terceros ligeramente modificadas para que las usara Dropbox, prototipos internos y algunas herramientas y archivos de configuración usados por el equipo de seguridad. Es importante destacar que no incluyeron código para nuestras aplicaciones o infraestructura principales. El acceso a esos repositorios es aún más limitado y está estrictamente controlado”, explicó la empresa de almacenamiento en la nube.
La compañía dijo que si bien los atacantes no obtuvieron acceso a las cuentas de Dropbox, las contraseñas de los usuarios o la información de pago, el código fuente expuesto contenía algunas credenciales utilizadas por sus desarrolladores. Además, los archivos expuestos también contenían «unos cuantos miles» de nombres y direcciones de correo electrónico pertenecientes a empleados de Dropbox, disfraces anteriores y actuales, proveedores y contactos de ventas.
Dropbox dijo que los ciberdelincuentes robaron contraseñas de un solo uso generadas por las claves de autenticación de hardware de los empleados. Por lo general, este tipo de claves se consideran más seguras, pero la empresa admitió que las que ha estado usando no son las mejores, y ha estado en el proceso de adoptar MFA más resistente al phishing, que combina WebAuthn con tokens de hardware o factores biométricos.
