You are currently at: ejtech.hkej.com
Skip This Ads
Don't Miss

Dropbox洩130代碼儲存庫 黑客傳網絡釣魚 騙員工登入憑證

By on November 3, 2022

原文刊於信報財經新聞「StartupBeat創科鬥室

黑客發送冒充CircleCI的假電郵,向Dropbox員工套取GitHub登入資料。

港人常用的互聯網檔案分享服務商Dropbox,全球各地擁有7億註冊用戶,周二(1日)Dropbox承認有黑客透過網絡釣魚,成功盜取其員工憑證後,再登入軟件代碼託管平台GitHub,複製了130個代碼儲存庫。事後Dropbox已通知受影響人士,並聘請外部法律專家驗證調查結果,並把個案通報監管機構及執法部門。

冒CircleCI電郵 盜數千客姓名

電腦網站Bleeping Computer報道,GitHub檢測到Dropbox的公司賬戶,自上月13日起出現一些可疑活動。後來揭發,有黑客發送冒充持續集成和交付平台CircleCI的電郵,再引導多名Dropbox員工訪問虛假登錄頁面,誘騙他們輸入GitHub用戶名稱和密碼,甚至要求使用硬件認證密鑰,向惡意網站發送一次性密碼(OTP)。

Dropbox使用CircleCI進行一些內部配置,用戶可透過GitHub賬戶登錄CircleCI,黑客便針對此漏洞開展網釣攻擊。今次被入侵的GitHub儲存庫,包括專為Dropbox而設的第三方程式庫、內部原型,以及安全團隊使用的一些工具及配置文件,幸好不包含核心應用程式或基礎設施代碼。

港人常用的互聯網檔案分享服務商Dropbox,全球各地擁有7億註冊用戶。(Dropbox fb 專頁圖片)

黑客對GitHub儲存庫的訪問權限,已於10月14日被撤銷。今次被存取的代碼及相關數據,除了Dropbox開發人員使用的API(應用程式介面)密鑰,還包括數千個姓名及電郵地址,屬於Dropbox員工、現在及以往的客戶、銷售線索和供應商等,但強調沒有任何個人的內容、密碼或付款訊息外洩。

擬採Web身份驗證增保障

Dropbox安全團隊認為,網釣攻擊防不勝防,畢竟對於許多人來說,點擊鏈接和打開附件是日常工作之一,即使警覺性最高的專業人士,亦可能誤墮陷阱。為防止類似事件重演,Dropbox打算加快採用WebAuthn(Web身份驗證),透過硬件令牌或生物特徵,以多重方式驗證身份。

此外,調查機構Check Point Research最近發布了第三季度品牌網釣報告,重點介紹黑客模仿的主要品牌,當中最多採用的為國際物流公司DHL,佔全球網釣攻擊的22%。緊隨其後均為科技品牌,分別是微軟(16%)、LinkedIn(11%)、Google(6%)及Netflix(5%)。

今次被存取的代碼及相關數據,包括數千個姓名及電郵地址,屬於Dropbox員工、現在及以往的客戶、銷售線索和供應商等。(Dropbox 網上圖片)

支持EJ Tech

如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們