Anche le grandi aziende possono rimanere bloccate nelle maglie di malintenzionati e criminali informatici. Un attacco informatico può essere indirizzato verso i dipendenti di un’azienda, magari coloro che dispongono di credenziali di accesso importanti sui loro sistemi, per poi estendere l’attacco all’intera infrastruttura aziendale, magari usando movimenti laterali che fanno leva su lacune di sicurezza di vario genere.
Nel caso di Dropbox, il noto servizio di storage cloud, gli aggressori hanno provato a fare qualcosa di molto simile. Hanno lanciato un attacco phishing prendendo di mira più dipendenti dell’azienda con l’invio di email che, all’apparenza, sembravano provenire dalla piattaforma CircleCI utilizzata in ambito DevOps. Seguendo i link presenti nel corpo dell’email, i dipendenti di Dropbox venivano indirizzati verso una pagina di destinazione che chiedeva di inserire nome utente e password GitHub.
Nella stessa pagina phishing veniva chiesto al personale di Dropbox l’inserimento del codice OTP (One-time password) ottenuto, come secondo fattore, attraverso l’utilizzo di una chiave di autenticazione hardware.
Grazie all’inserimento dei dati di autenticazione, come conferma Dropbox spiegando quanto accaduto, gli aggressori remoti hanno potuto accedere al contenuto di 130 repository privati ospitati su GitHub.
Tali repository includevano copie di librerie di terze parti parzialmente modificate per l’uso con Dropbox, prototipi interni dell’azienda, alcuni strumenti e file di configurazione utilizzati dal team di sicurezza. “È importante sottolineare che i repository non ospitavano codice delle app o relativi al funzionamento dell’infrastruttura principale. L’accesso a tali repository è ancora più limitato e rigorosamente controllato“, puntualizza Dropbox.
Fatto sta, comunque, che gli aggressori hanno potuto sottrarre anche dati come alcune migliaia di nomi e indirizzi email appartenenti a dipendenti Dropbox, clienti attuali e passati, performance di vendita e rapporti con i fornitori.
Dropbox non ha chiarito se, visto l’utilizzo di una OTP come secondo fattore, gli aggressori abbiano utilizzato una sorta di Evil Proxy oppure se, più semplicemente, avessero predisposto una routine per provare subito l’accesso con le credenziali e il codice OTP inserito.
La società, però, non si è nascosta dietro un dito: “sebbene le informazioni alle quali hanno avuto accesso i malintenzionati siano limitate, aspiriamo all’adozione di standard di sicurezza più elevati“.
Non tutti i tipi di autenticazione due fattori o più sono ugualmente sicuri e alcuni sono maggiormente vulnerabili al phishing rispetto agli altri. Sebbene molte organizzazioni facciano ancora affidamento su forme meno sicure di autenticazione a più fattori, come le notifiche push, le password monouso (OTP) e le Time-based one-time password (TOTP), “WebAuthn è attualmente la scelta migliore” secondo Dropbox. “Prima di questo incidente, stavamo già adottando questa forma di autenticazione a più fattori resistente al phishing. Presto, il nostro intero ambiente sarà protetto da WebAuthn con token hardware o fattori biometrici“.
Dropbox ricorda che la possibilità di attivare l’accesso con WebAuthn è accordata anche agli stessi utenti.