O Dropbox começou o mês de novem reconhecendo uma invasão que resultou na captura de 130 de seus repositórios privados no GitHub. Segundo a empresa, a ação foi identificada em 14 de outubro desse ano, quando o GitHub alertou sobre atividades suspeitas em seus repositórios (ambientes online que armazenam e controlam versões de código-fonte de projetos).
Os especialistas em segurança do Dropbox, após uma investigação rigorosa, confirmaram que uma de suas contas no GitHub foi acessada indevidamente no dia anterior. Em setembro, o GitHub alertou para uma campanha de phishing que visava roubar dados de login e até códigos de autenticação em dois passos. Essa ação alvejava usuários da plataforma de integração CircleCI.
A invasão aos repositórios do Dropbox teve como base justamente um agente que, se passando por um representante do CircleCI, que conseguiu acessar uma das contas da empresa no GitHub. A ação aconteceu a partir de e-mails que instruíam desenvolvedores do Dropbox a fazer login em uma página falsa do CircleCI. Algumas dessas mensagens foram barradas, mas outras chegaram ao destinatários. Um dos funcionários não percebeu e, usando sua chave de autenticação por hardware, passou a senha de uso único (OTP) para os invasores. A conta em questão no GitHub foi invadida. O Dropbox calcula que pelo menos 130 de seus repositórios foram capturados em razão do acesso indevido.
Os aplicativos principais não foram afetados
Em uma nota ferente ao ocorrido, o Dropbox explica que o vazamento não incluiu o código-fonte de seus aplicativos principais ou de sua infraestrutura. A empresa, complementa, “O acesso a esses repositórios é ainda mais limitado e estritamente controlado”.
Os repositórios comprometidos possuem bibliotecas externas adaptadas para projetos internos, protótipos e algumas ferramentas utilizadas pelo time de segurança. As credenciais de funcionários, chaves de APIs, e listas com milhares de nomes e endereços de e-mail de funcionários e clientes foram comprometidos, mas não o acesso a essas contas em si.
A companhia explica que nenhum conteúdo, senha ou informação de pagamento de usuários foi incluído no vazamento.
O Dropbox se desculpou pelo incidente e prometeu providências, pois um ataque desse preocupa, ainda mais em um serviço que se propõe justamente a guardar dados sigilosamente. A mais importante delas consiste em acelerar a adoção do WebAuthn. É o nome dado a um padrão que permite acesso a serviços por meio de uma chave USB, um aplicativo específico ou um leitor de impressões digitais, por exemplo.
Essa situação serve de alerta geral sobre a importância do uso de mecanismos adicionais de segurança e campanhas de orientação contra phishing. O fato de um ou mais desenvolvedores do Dropbox terem caído na cilada deixa claro que ninguém está imune ao problema.
