【黑客攻擊】黑客誘騙Dropbox員工 入侵130個GitHub儲存庫
▲ Dropbox指,許多員工由10月初起,收到偽裝成CircleCI的網釣郵件,雖然該公司的系統會自動過濾可疑郵件,但仍有些網釣郵件進入員工信箱。
開源程式託管平台GitHub早於今年9月警告有黑客假冒持續整合與交付平台CircleCI,竊取GitHub用戶的憑證,並影響許多採用GitHub的企業及組織等。Dropbox日前表示該企已成為相關的網釣攻擊受害者,黑客誘騙員工並取得登入憑證後,存取了Dropbox存放在GitHub上的130個儲存庫。
Dropbox指,在上月14日從GitHub獲悉與Dropbox有關的可疑活動,也在同一天關閉了黑客的存取權限。這些GitHub儲存庫分別存放了Dropbox修改過的第三方程式庫,Dropbox安全團隊採用的工具與配置檔案,以及數千名Dropbox員工、客戶及供應商的姓名及電子郵件位址,不包括Dropbox核心程式或基礎設施的程式碼。
【網絡安全】日本警察廳發警告 當地多間加密貨幣交易所遭朝鮮黑客攻擊
Dropbox說明,該公司使用GitHub來代管公開與私有儲存庫,也透過CircleCI進行內部部署。由10月初起,有許多Dropbox員工收到偽裝成CircleCI的網釣郵件,雖然該公司的系統會自動過濾可疑郵件,但仍有些網釣郵件進入員工信箱,這些郵件要求Dropbox員工造訪一個偽造的CircleCI登入頁面,以輸入他們的GitHub使用者名稱及密碼,之後再要員工把硬件身分認證金鑰所產生的一次性密碼輸入該惡意網頁。黑客藉此成功取得Dropbox員工憑證,並存取了Dropbox位於GitHub的其中一個據點,複製了130個儲存庫。
為防止類似事件再次發生,Dropbox表示加快部署Web Authentication(WebAuthn)認證機制,搭配硬件金鑰或生物辨識機制來抵擋網釣攻擊。
責任編輯:張寶燕
《ET贏商有計》每集請來香港企業品牌,分享疫下營商Tips。即看最新一集:
