Le service d’hébergement de fichiers Dropbox a révélé mardi avoir été victime d’une campagne de phishing qui a permis à des acteurs non identifiés d’obtenir un accès non autorisé à 130 de ses dépôts de code source sur GitHub.
«Ces dépôts comprenaient nos propres copies de bibliothèques tierces légèrement modifiées pour être utilisées par Dropbox, des prototypes internes et certains outils et fichiers de configuration utilisés par l’équipe de sécurité», a révélé l’entreprise dans un avis.
La violation a permis d’accéder à certaines clés API utilisées par les développeurs de Dropbox ainsi qu’à «quelques milliers de noms et d’adresses électroniques appartenant à des employés de Dropbox, à des clients actuels et passés, à des clients potentiels et à des fournisseurs».
Cette révélation intervient plus d’un mois après que GitHub et CircleCI ont mis en garde contre des attaques de phishing visant à voler les identifiants GitHub par le biais de fausses notifications censées provenir de la plateforme CI/CD.
La société basée à San Francisco a noté que «plusieurs utilisateurs de Dropbox ont reçu des courriels de phishing se faisant passer pour CircleCI» au début du mois d’octobre, dont certains ont échappé à ses filtres anti-spam automatisés pour atterrir dans les boîtes de réception des employés.
«Ces courriels d’apparence légitime invitaient les employés à se rendre sur une fausse page de connexion CircleCI, à saisir leur nom d’utilisateur et leur mot de passe GitHub, puis à utiliser leur clé d’authentification matérielle pour transmettre un mot de passe à usage unique au site malveillant», a expliqué Dropbox.