Nach Phishing-Angriff: Hacker erbeuten GitHub-Code von Dropbox

Dropbox hat bestätigt, dass es das Ziel eines Phishing-Angriffs war. Den unbekannten Tätern gelang es demnach, Zugang zu Code von Dropbox zu erhalten, der auf GitHub gespeichert war. Der Cloud-Storage-Anbieter betont, es seien weder Inhalte von Nutzern noch Kennwörter oder Bezahlinformationen kompromittiert worden. Zudem sei das entstandene Sicherheitsleck schnell geschlossen worden.

Auch die Apps von Dropbox sowie die Infrastruktur des Unternehmens seien nicht betroffen gewesen, heißt es in einer Pressemitteilung. Der Zugang zu diesem Code sei sehr begrenzt und werde streng kontrolliert.

Der Vorfall selbst ereignete sich bereits am 13. Oktober. Auf den Einbruch wurde Dropbox von GitHub am 14. Oktober hingewiesen. Laut Dropbox nutzten die Cyberkriminellen eine Angriffsmethode, die im September bereits gegen GitHub eingesetzt wurde. So sei es den Tätern möglich gewesen, die Kontrolle über Dropbox-Konten auf GitHub zu übernehmen und auch eine Multifaktor-Authentifizierung zu überwinden.

Hacker erhalten Zugang zu 130 Code-Repositories

“Zu keinem Zeitpunkt hatte dieser Bedrohungsakteur Zugriff auf den Inhalt des Dropbox-Kontos einer Person, ihr Passwort oder ihre Zahlungsinformationen”, erklärte Dropbox. “Bisher hat unsere Untersuchung ergeben, dass der Code, auf den dieser Bedrohungsakteur Zugriff hatte, einige Anmeldeinformationen – vor allem API-Schlüssel – enthielt, die von Dropbox-Entwicklern verwendet wurden. Der Code und die damit verbundenen Daten enthielten auch einige tausend Namen und E-Mail-Adressen von Dropbox-Mitarbeitern, aktuellen und ehemaligen Kunden, Interessenten und Anbietern (Dropbox hat mehr als 700 Millionen registrierte Nutzer).”

Dropbox nutze GitHub in erster Linie für das Hosting von öffentlichen Repositories, aber auch für einige nichtöffentliche Repositories, ergänzte das Unternehmen. Die Phishing-E-Mails der Täter seien nicht alle automatisch von den eigenen Systemen als schädlich erkannt worden. Sie hätten Nutzer zu einer gefälschten Anmeldeseite umgeleitet, um Nutzernamen, Passwörter und Einmalkennwörter abzufangen. Dabei sei schließlich ein GitHub-Konto von Dropbox geknackt worden. Die Cyberkriminellen hätten darüber auf 130 Code-Repositories zugegriffen.

“Diese Repositories enthielten unsere eigenen Kopien von Bibliotheken von Drittanbietern, die für die Verwendung durch Dropbox leicht modifiziert wurden, interne Prototypen sowie einige vom Sicherheitsteam verwendete Tools und Konfigurationsdateien. Wichtig ist, dass sie keinen Code für unsere Kernanwendungen oder unsere Infrastruktur enthielten.”

Um künftige Phishing-Angriffe abwehren zu können, kündigte Dropbox an, für die Mehrfaktorauthentifizierung auf den Standard WebAuthn umzusteigen. “Nicht alle Arten der Multi-Faktor-Authentifizierung sind gleich, und einige sind anfälliger für Phishing als andere. Während viele Unternehmen immer noch auf weniger sichere Formen der Multi-Faktor-Authentifizierung setzen – wie Push-Benachrichtigungen, Einmal-Passwörter (OTP) und zeitbasierte Einmal-Passwörter (TOTP) – ist WebAuthn derzeit der Goldstandard.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

16 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

17 Stunden ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

19 Stunden ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago

Privates 5G-Netz für Rheinhäfen Karlsruhe

Über das private 5G-Campusnetz will das Unternehmen logistische Prozesse digitalisieren und künftig in Echtzeit steuern.

2 Tagen ago

Malware im Februar: WordPress-Websites im Visier einer neuen FakeUpdates-Kampagne

Check Point hat eine neue FakeUpdate-Kampagne namens SocGolish entdeckt, die WordPress-Websites mit gestohlenen Administratorkonten angreift.

3 Tagen ago