Na początku listopada Zespół Bezpieczeństwa Dropbox poinformował o wycieku ponad 130 wewnętrznych repozytoriów GitHub. Zbiory zawierały kopie własnych bibliotek i dane zmodyfikowane do użytku wewnętrznego przez klientów. Wyciekło w sumie kilka tysięcy nazwisk i adresów e-mail pracowników Dropbox, obecnych i byłych klientów oraz dostawców.  

Wszystko przez phishing

Do ataku doszło na początku października. Wtedy też wielu użytkowników Dropboxa otrzymało wiadomości phishingowe, w których cyberprzestępcy podszywali się pod CircleCI. Systemy bezpieczeństwa zadziałały wybiórczo i część e-maili została poddana kwarantannie, a część z nich zdołała ominąć filtry antyspamowe i trafiła do skrzynek odbiorczych pracowników firmy. Wiadomości, do złudzenia wyglądające jak autentyczne, kierowały do fałszywej strony logowania CircleCI. Proces logowania wymagał podania danych uwierzytelniających, a następnie użycia jednorazowego hasła (One-Time Password), wygenerowanego z klucza sprzętowego. 

Natychmiastowa reakcja na atak

Po wykryciu incydentu Dropbox podjął natychmiastowe działania. Dostęp do GitHub (używany przez Dropbox do hostowania publicznych repozytoriów) został zablokowany i rozpoczęto analizę incydentu. Powołany zespół specjalistów sprawdzał, czy i jakie dane wyciekły. Choć nie znaleziono dowodów naruszeń wskazujących na wyciek danych klientów, Dropbox poprosił o dodatkową pomoc ekspertów informatyki śledczej, których zadaniem było zweryfikowanie tych ustaleń. Sytuacja została również zgłoszona organom ścigania.  

Jeszcze przed atakiem firma była w trakcie wdrażania bardziej odpornej na phishing formy uwierzytelniania dwuskładnikowego. Dąży do tego, by pracownicy zaczęli wkrótce korzystać z tokenów sprzętowych lub biometrycznych z WebAuthn, które mają dodatkowo wpłynąć na poprawę bezpieczeństwa.  

Jak zwiększyć szansę na obronę przed atakiem phishingowym?

Priorytetem, obok wspierania bezpieczeństwa technologią, powinno być podnoszenie praktycznych umiejętności pracowników w rozpoznawaniu socjotechnik i wiadomości phishingowych.  

Edukowanie pracowników i wskazanie im, na co zwrócić uwagę w przychodzących wiadomościach e-mail, na stronach, do których przekierowuje link i wypracowanie w nich nawyku do wykonywania tych czynności z pewnością utrudni cyberprzestępcy przeprowadzenie skutecznego ataku. Co więcej, pracownik wykorzysta nabyte umiejętności także w życiu prywatnym, przez co jego odporność na sztuczki stosowane przez hakerów znacznie się zwiększy.
 Człowiekiem mniej lub bardziej rządzą emocje, co powoduje, że stanowi ryzyko w łańcuchu bezpieczeństwa. Klikanie linków, otwieranie załączników, zapisywanie plików to czynności, powtarzane wielokrotnie każdego dnia. Nie można zabronić tego pracownikowi. Warto więc nauczyć go, jak robić to bezpieczniej. Stąd tak istotne w każdej firmie są działania zwiększające security awareness pracowników. 

Dropbox nie podaje, ile osób padło ofiarą manipulacji, ale dla bezpieczeństwa firmy nie ma to większego znaczenia, ponieważ do skutecznego ataku wystarczy jedna oszukana przez przestępców osoba. Dlatego tak ważny jest trening security awareness i świadomość bezpieczeństwa cybernetycznego każdego pracownika w firmie.