云存储公司Dropbox的源代码和个人信息被盗           (2022-11-07)

Dropbox公司披露称数据遭泄露，恶意人员获得对员工和客户某些源代码和个人信息的访问权限。

该文件托管巨头表示，10月14日，GitHub 向其发出警报，从而发现该泄露事件。几周前，GitHub 提醒称，其某些用户遭假冒持续集成和持续交付平台 CirecleCI的钓鱼攻击，凭据和双因素认证代码遭窃取。

Dropbox也遭受类似攻击。黑客向多个员工发送钓鱼邮件，将员工定向到虚假的CircleCI网站，从而窃取了员工的凭据和多因素认证一次性密码。这起攻击获得成功，黑客设法访问了Dropbox 的一个GitHub 组织机构，从而复制了130个代码仓库。

Dropbox 公司提到，“这些仓库中包括我们稍作修改后使用的第三方库副本、内部原型和安全团队使用的一些工具和配置文件。不过很重要的一点是，其中并不包括核心应用或基础设施的代码。访问这些仓库的限制更大且控制更严格。”

Dropbox公司表示，虽然攻击者并未获得对Dropbox 账户的访问权限、用户密码或支付信息，但遭暴露的源代码中确实包含开发人员使用的某些凭据。另外，被暴露的文件中还包括Dropbox 员工、之前和当前客户、厂商和销售主管的“数千个”姓名和邮件地址。

Dropbox 公司表示，黑客钓鱼员工硬件认证密钥生成的一次性密码。一般而言，硬件认证密钥更安全，但该公司承认自己所使用的并非最好，目前正在采用更能防御钓鱼的MFA，即将WebAuthn 与硬件令牌或生物特征因素相结合的密钥。

针对大型企业的勒索攻击并不少见。就在几个月前，Twilio 和 Cloudflare 公司的员工遭钓鱼攻击，而这起攻击攻陷了130多家组织机构。