Dropbox sufre una brecha de seguridad: roban código de 130 de sus repositorios en GitHub

Dropbox ha confirmado que sufrió una brecha de seguridad hace unos días, y que por culpa de un ataque de phishing, un tercero sin autorización ha sido capaz de robar código de la empresa después de hacerse con las credenciales de un empleado a repositorios de GitHub. Según el post en el que la compañía reconoce el incidente, este tuvo lugar a mediados del pasado mes de octubre. En Dropbox se enteraron de lo sucedido cuando GitHub les notificó el día 14 de octubre de que había actividad sospechosa en una cuenta.

Según han señalado desde la compañía, el código al que ha accedido el atacante «contenía algunas credenciales, sobre todo, claves API, que emplean los desarrolladores de Dropbox«. Pero insiste en que «no accedieron a ningún contenido de los clientes, ni contraseñas ni información sobre pagos«. Además, también ha señalado que sus principales apps, así como su infraestructura, no han resultado afectadas.

Al parecer, el comportamiento sospechoso del que GitHub alertó a Dropbox comenzó el día anterior, el 13 de octubre. Un tercero, que pretendía ser alguien autorizado a utilizar la cuenta CircleCI, accedió a una de las cuentas de GitHub y accedió a diversos datos. El código y los datos a los que tuvo acceso el atacante incluía algunos miles de nombres y direcciones de correo electrónico de empleados de Dropbox, así como de clientes actuales y pasados. También leads de ventas, y proveedores.

En Dropbox aseguran que se toman en serio su compromiso de proteger la privacidad de clientes, partners y empleados, y que aunque creen que cualquier problema que puedan sufrir es mínimo, han notificado el incidente a los que están afectados. La compañía usa GitHub para almacenar repositorios públicos y privados, y ha señalado que usa CircleCI para «algunos despliegues internos concretos«. Como hemos mencionado, el ataque se produjo a través de una cuenta que simulaba ser un representante de CircleCI al que el atacante consiguió sacar sus credenciales de acceso a través de empleados de Dropbox.

En total, el atacante consiguió acceso a 130 repositorios de código antes de que se le cortase el acceso. Entre ellos están los que incluyen las copias de Dropbox de librerías de terceros modificadas ligeramente por la compañía para uso propio y prototipos internos. También algunas herramientas y archivos de configuración utilizados por el equipo de seguridad. Es importante recalcar que no incluye código de las aplicaciones principales de Dropbox, ni tampoco de su infraestructura, puesto que el acceso a los repositorios en los que está es todavía más limitado, y está controlado de manera muy estricta.

La compañía señala que está utilizando los servicios de un tercero para realizar investigaciones adicionales sobre el incidente, y asegurarse de que no hay datos de clientes incluidos. También está acelerando la adopción de WebAuth, una solución que definen como «el estándar de oro» de las herramientas de autenticación de varios factores.