Dropbox 在11月1日時，在官網上張貼內部遭受到釣魚信件攻擊，使部份儲存在Github上的程式碼有被駭客存取使用的可能。Dropbox表示，此次事件發生之後，內部資安團隊很快地便排除了可疑的活動與攻擊行為，並沒有任何公司核心的服務和設施受到影響，並聲稱目前使用者的密碼、付款資訊、個人資料等仍在安全的保護範圍，被可疑軟體存取利用的可能性極小，且Dropbox已經通知了可能受到影響的使用者與部門。

 

前情提要
資訊的普及與氾濫，使用戶難以對每一個訊息來源都持有警戒，也加劇釣魚信件攻擊對於企業所帶來的影響。不同與以往的，惡意攻擊者不僅希望透過釣魚信件攻擊取得用戶的使用者名稱與密碼，他們也希望可以獲得其他協助進行多方驗證的驗證碼與資訊。在今年九月，Github就曾經發出此類攻擊手法的相關警示，表示有惡意攻擊者透過假冒CircleCI，成功誘使使用者點擊釣魚信件中的連結，並取得用戶的Github 帳戶。

Dropbox 的服務主要使用Github 的公開以及私密存儲庫為基礎，同時也使用CircleCI 進行內部部屬。因此，駭客使用相似的釣魚信件手法，對Dropbox 發起攻擊。

 

攻擊過程
首先，Dropbox內部的人員收到了假冒 CircleCI 的電子信件，將員工導至假冒的 CircleCI登入畫面，誘使 Dropbox 內部員工輸入 CircleCI 帳號和密碼以及硬體驗證金鑰 (hardware authentication key) ，並將此 OTP ( one time password) 傳送回給攻擊者。雖然部份的釣魚信件被公司內部的篩選器攔截，但最終仍是有內部員工受騙，使得攻擊者成功地取得了 Dropbox 內部在 Github 上 130 個存儲庫 (repository) 的程式碼與資料。此130個存儲庫中的資料，包含：(1) 經過 Dropbox 內部修改的第三方資料庫副本 (2) 內部的產品原型 (3) Dropbox 內部安全部門所使用的配置與工具檔案，值得注意的是，因為遭到攻擊的130個repositories中並不包含 Dropbox 產品和網站的源碼，故攻擊活動很快地就被掌握和控制。

Github 也在察覺到可疑活動時，就已經中止了任何可疑活動的活動範圍。Dropbox 也審視了內部系統的活動記錄，並表示並未發現有任何顯著的攻擊。目前，Dropbox也委託了外部的偵察組織對於此次攻擊展開調查，並承諾將將偵察結果訴諸相應的監管和執法部門。

 

事件影響評估與未來方向
Github 在今年 10 月 14 日時，向 Dropbox 表示他們觀察到了 Dropbox 內部出現在可疑的活動，也是此次面臨的攻擊事件第一次被發現。經過 Dropbox 內部人員的調查，此次攻擊活動的惡意攻擊者並無從取得用戶的私人資料，僅可以取得 Dropbox 內部開發所使用的API keys，和部份 Dropbox 內部員工、合作對象與顧客的姓名與連絡信箱。Dropbox 表示已經連絡了可能受到影響的利害關係人，並認為本次攻擊可能造成的風險不大。

因應本次的攻擊事件，有鑑於人性的不完美，Dropbox 表示在未來公司將採用抗釣魚攻擊的多重驗證機制。並使用目前安全性在極高標準 (gold standard) 的 WebAuthn 以及硬體的tokens 或是以生物驗證的方式，加強對於系統的安全防護，也歡迎用戶若有發現任何可疑的活動，都可以向 Dropbox 官網反映。

 

參考資料：

1. Dropbox discloses breach after hacker stole 130 Github repositories, BleepingComputer (Nov 1, 2022)- https://www.bleepingcomputer.com/news/security/dropbox-discloses-breach-after-hacker-stole-130-github-repositories/

2. How we handled a recent phishing incident that targeted Dropbox, Dropbox.Tech (Nov 1, 2022)- https://dropbox.tech/security/a-recent-phishing-campaign-targeting-dropbox