A Dropbox november 1-jén ismerte el, hogy a közelmúltban adathalász támadás áldozatává vált, amely során az elkövetők a szolgáltató néhány forráskód részletéhez, illetve az alkalmazottak és ügyfelek személyes adataihoz is hozzáférést szereztek.
A Dropbox elmondása szerint október 14-én értesültek a biztonsági eseményről, miután a GitHub felhívta a figyelmet egy, a CircleCI-t megszemélyesítő, folyamatban lévő adathalász kampányra.
A CircleCI a szoftverkódok folyamatos integrálásához és szállításához (CI/CD) ad elosztott platformot, amellyel a vállalatok a szoftverkiadások kezelését, tesztelését és telepítését automatizálhatják.
A Dropbox is egy ilyen támadás áldozata lett, ugyanis a céghez beérkező adathalász e-mailekben hamis CircleCI weboldalakra irányították át a felhasználókat, hogy megszerezzék a hitelesítő adataikat. Sajnálatosan, a sikeres támadás következtében az elkövetők hozzáférhettek a Dropbox egyik GitHub szervezetéhez, ahonnan 130 repository-t sikerült lemásolniuk. A Dropbox elmondása szerint bár a támadók nem fértek hozzá Dropbox fiókokhoz, felhasználói jelszavakhoz vagy fizetési információkhoz, a kiszivárgott forráskód tartalmazott néhány, a fejlesztők által használt hitelesítő adatot is. Sőt a nyilvánosságra hozott adatok között több ezer alkalmazott, ügyfél és beszállító neve és e-mail címe is szerepelt. A Dropbox szerint a támadók a cég munkatársainak hardveres hitelesítő adatait igyekezhettek megszerezni, ami bár egy biztonságosabbnak vélt hitelesítési forma, a Dropbox bevallása szerint nem a legjobb hardver kulcsokat használják, viszont már beszerzés alatt állnak a korszerűbb eszközök.