Dropbox חשפה פרצת אבטחה לאחר שהאקרים גנבו 130 מאגרי קוד בעקבות השגת גישה לאחד מחשבונות ה- GitHub שלה באמצעות אישורי עובדים שנגנבו בהתקפת פישינג. לדרופבוקס יש יותר מ- 700 מיליון משתמשים רשומים. החברה גילתה שהתוקפים פרצו את החשבון ב- 14 באוקטובר כאשר GitHub הודיעה לה על פעילות חשודה שהחלה יום אחד לפני שליחת ההתראה.
דרופבוקס מסרה בהצהרתה כי החקירה מצאה שהקוד שאליו ניגש ההאקר הכיל מספר אישורים – בעיקר מפתחות API המשמשים מפתחי דרופבוקס. הקוד והנתונים סביבו כללו גם אלפי שמות וכתובות דוא"ל השייכים לעובדי דרופבוקס, לקוחות נוכחיים וקודמים, לידים למכירות וספקי החברה. הפריצה נבעה ממתקפת דיוג שכוונה למספר עובדי דרופבוקס באמצעות אימיילים שהתחזו לפלטפורמת האינטגרציה של CircleCI והפנו את העובדים לדף נחיתה של פישינג שבו הם התבקשו להזין את שם המשתמש והסיסמה שלהם ב- GitHub. באותו דף פישינג, התבקשו העובדים גם להשתמש במפתח אימות החומרה שלהם כדי להזין סיסמה חד פעמית (OTP).
לאחר גניבת האישורים של עובדי דרופבוקס, השיגו ההאקרים גישה לאחד ממאגרי GitHub של דרופבוקס וגנבו 130 ממאגרי הקוד שלה. לפי דרופבוקס, מאגרים אלו כוללים עותקים של ספריות צד שלישי ששונו מעט לשימוש על ידי דרופבוקס, אבות טיפוס פנימיים ומספר כלים וקבצי תצורה בהם השתמש צוות האבטחה. דרופבוקס ציינה כי מאגרי הקוד שנגנבו לא כללו קוד עבור אפליקציות הליבה או התשתית של דרופבוקס מכיוון שהגישה למאגרים הללו מוגבלת אפילו יותר ונשלטת בקפדנות. דרופבוקס הוסיפה כי לתוקפים מעולם לא הייתה גישה לחשבונות, סיסמאות או פרטי תשלום של לקוחות וכמו כן, אפליקציות הליבה והתשתית שלה לא הושפעו כתוצאה מפריצה זו. בתגובה לתקרית, פועלת דרופבוקס להקשחת אבטחת כל הסביבה שלה באמצעות WebAuthn ואסימוני חומרה או גורמים ביומטריים.
בספטמבר, התמקדה מתקפה דומה שהתחזה לפלטפורמת CircleCI גם על משתמשי GitHub אחרים. במתקפת סייבר זו, התבקשו המשתמשים להיכנס לחשבונות GitHub שלהם כדי לקבל את תנאי המשתמש ועדכוני מדיניות הפרטיות כדי להמשיך להשתמש בשירות. GitHub מסרו אז כי בעוד ש- GitHub עצמו לא הושפע, המתקפה השפיעה על ארגונים ואנשים פרטיים רבים. גניבת התוכן מהמאגרים הפרטיים זוהתה על ידי GitHub כמעט מיד לאחר הפריצה, כאשר ההאקרים השתמשו בשירותי VPN או פרוקסי כדי להקשות על המעקב אחריהם.
