Dropbox遭受钓鱼攻击

关键要点

• Dropbox近期遭遇了一起成功的钓鱼攻击，攻击者通过绕过多重身份验证（MFA）获取了部分代码。
• 攻击者不仅窃取了用户名和密码，还收集了MFA代码。
• Dropbox于事件发生当天迅速采取了措施，切断了攻击者对GitHub的访问，并审查了系统日志，未发现大规模数据泄露。
• 数据安全专家提醒企业检查源代码中的敏感信息，以防止被攻击者利用。

在线云存储提供商Dropbox近日成为了一起钓鱼攻击的目标，攻击者成功访问了其存储在上的部分代码（如图所示，来源于Drew Angerer/GettyImages）。这一事件在网络安全圈内引起了广泛关注，因为攻击者成功绕过了多重身份验证（MFA）。

在一篇中，Dropbox的研究人员表示，攻击者不仅仅是窃取了用户名和密码，还获取了MFA代码。研究人员指出，在去年9月，GitHub曾详细描述了一起类似的钓鱼攻击，攻击者假冒了代码集成和交付平台CircleCI，成功访问了GitHub账户。

研究人员称：“我们最近了解到，Dropbox也成为了类似攻击的目标。2022年10月14日，GitHub提醒我们有可疑行为自前一天开始。经过进一步调查，我们发现一个假扮CircleCI的攻击者也访问了我们的一个GitHub账户。”

在Dropbox得知该事件的当天，立即切断了攻击者对GitHub的访问。Dropbox的安全团队迅速采取措施，协调轮换所有泄露的开发者凭证，确认是否有客户数据被访问或窃取。他们还审查了日志，未发现成功利用的证据。

攻击者寻求新路径绕过保护措施

尽管MFA为用户登录凭证增加了良好的安全层，但Hoxhunt的联合创始人兼首席执行官MikaAalto指出，这并不是万无一失。一些绕过MFA的漏洞，比如通过常规会话管理和利用Oauth，已经被发现并修复。然而，Aalto表示，恶意参与者始终在寻找新的手段，无论是手动的还是自动化的。

“A manual example might involve a credential harvesting site where instead ofredirecting the user after harvesting their credentials, the site will ask foran authenticator code,” Aalto said.
“想想看。恶意参与者提前预料到了MFA，实际上是在要求受害者亲自交付代码。如果给出了验证代码，攻击者将收到警报并迅速登录。在输入代码后，网站将加载并要求另一个代码，可能给攻击者再次登录的机会。”

Salt Security的现场首席技术官NickRago指出，在这种情况下，Dropbox确认攻击者访问的代码包含了Dropbox开发者使用的API密钥。Rago表示，关于这些API密钥的用途、它们连接到哪些系统（内部或外部），以及攻击者通过这些API密钥可以访问的数据的程度，事件通知并没有提供明确的信息。

“静态API密钥和其他重要凭证应该以某种方式进行安全保护，而不是以纯文本的形式存储在任何“静态”的应用源代码中，”Rago表示。“数据加密或利用安全数据保险库提供了两种常见且更安全的替代方案。Dropbox的泄露提醒各组织扫描其源代码库，寻找以纯文本存储的任何凭证（API密钥、密码），这些信息可能被攻击者利用。”

除了MFA，Cybrary的资深安全研究员MattMullins表示，安全团队还应考虑数据泄露可能带来的影响。Mullins指出，安全团队应提出以下问题：公司是否有暴露的API可以进行身份验证？如果有，控制台内是否有足够的日志记录，以便将信息汇总到SIEM？组织对于被引爆的恶意软件有哪些保护措施？是否使用经过正确调试的EDR/AV规则？是否使用了沙箱？是否只有某些组可以执行宏命令？

“这些安全措施可以大大降低钓鱼攻击对组织的整体影响，”Mullins表示。“如果组织能够