Un piratage sur un compte GitHub utilisé par Dropbox a conduit au vol de quelques milliers de noms et d’adresses e-mail. Les pirates ont employé une technique classique d’hameçonnage.
Mauvaise nouvelle pour Dropbox, ainsi que pour ses utilisateurs : des pirates ont volé quelques milliers de noms et d’adresses e-mail appartenant aux employés, aux clients actuels et passés, aux prospects et aux fournisseurs.
Toutes ces données étaient stockées sur un compte GitHub, qui a été piraté. Pour cela, les hackers ont utilisé une technique d’hameçonnage (phishing) et ont ciblé plusieurs employés de Dropbox.
Ils se sont fait passer pour la plate-forme d’intégration et de diffusion CircleCI et ont redirigé les employés vers un faux site qui les invitait à entrer leur nom d’utilisateur et leur mot de passe GitHub.
Les employés étaient aussi invités à utiliser leur clé d’authentification matérielle pour transmettre un mot de passe à usage unique (OTP).
Les pirates ont pu ainsi accéder à GitHub et ont volé 130 référentiels de code. Dropbox a été alertée le 14 octobre lorsque GitHub a informé la société d’une activité suspecte. Après enquête, elle a indiqué que le code contenait des informations d’identification, dont des noms et des adresses électroniques, ainsi que des clés API utilisées par les développeurs.
Dropbox se veut toutefois rassurant et a précisé à nos confrères de Bleeping Computer :
« Il est important de noter que les référentiels volés n’incluaient pas de code pour nos applications ou notre infrastructure principale. L’accès à ces référentiels est encore plus limité et strictement contrôlé. »
L’entreprise ajoute que les pirates n’ont jamais eu accès aux comptes, mots de passe ou informations de paiement des clients. Mais les adresses mail peuvent être utilisées pour de nouvelles campagnes d’hameçonnage. En outre, Dropbox n’a pas précisé si les clés API volées pouvaient être exploitées par les pirates.
Notons que GitHub a déjà été victime d’une attaque similaire en septembre. Cette attaque a également usurpé l’identité de la plate-forme CircleCI. Celle-ci demandait aux utilisateurs de se connecter à leurs comptes GitHub pour accepter de nouvelles conditions d’utilisation, afin de continuer à utiliser le service. En outre, les pirates ont utilisé des services VPN et proxy pour rendre leur localisation plus difficile.
source : 01net