Hackers stelen Dropbox-prototypes en -beveiligingstools bij phishingaanval

Hackers hebben met een phishingaanval toegang gekregen tot een GitHub-account van Dropbox. Daardoor wisten de criminelen onder meer gemodificeerde third-party libraries, interne prototypes en beveiligingstools te stelen. Ook werd er data van duizenden gebruikers gestolen.

Bij de aanval kregen de criminelen toegang tot namen en e-mailadressen van duizenden huidige en voormalige klanten, werknemers, potentiële klanten en leveranciers. Relatief gezien is er volgens Dropbox weinig persoonlijke data gestolen, aangezien het platform 700 miljoen gebruikers zou hebben. Bestanden die gebruikers met Dropbox opslaan of delen, zijn bij de aanval niet gestolen. Ook zijn er geen wachtwoorden of betaalgegevens buitgemaakt. Getroffenen zijn inmiddels bericht.

Verder kregen de aanvallers toegang tot api-sleutels van Dropbox-ontwikkelaars en honderddertig code-repositories. Het gaat dan om onder meer eigen kopieën van third-party libraries die door Dropbox licht zijn aangepast, interne prototypes en 'bepaalde tools en configuratiebestanden die het beveiligingsteam gebruiken'. Code voor kernapps of kerninfrastructuur zijn niet gestolen, benadrukt het bedrijf.

De criminelen kregen toegang door in oktober phishingmails te sturen naar meerdere Dropbox-medewerkers. In die mails deden de criminelen zich voor als CircleCI, een code integration- en delivery-platform. Gebruikers kunnen met hun GitHub-inloggegevens inloggen in CircleCI; daarom deden de hackers zich als dit platform voor. Een deel van de phishingmails werd door systemen van Dropbox automatisch geblokkeerd, maar een deel kwam wel in de inbox van werknemers.

Deze mails linkten naar een externe website die CircleCI's website nabootst. Hier moesten de werknemers inloggen met hun GitHub-inloggegevens en met hun fysieke authenticatiesleutel een one-time-password doorgeven. De criminelen gebruikten deze gegevens om in te kunnen loggen op een van de GitHub-organisaties van Dropbox en zo de data te stelen.

Dropbox zegt de aanval te hebben gemeld bij de relevante autoriteiten en heeft zijn eigen bevindingen met forensische experts gecontroleerd. Het platform wil versneld overstappen naar WebAuthn en hoopt daarmee de kwetsbaarheid voor phishingaanvallen te beperken.

Door Hayte Hugo

Redacteur

Feedback • 01-11-2022 19:38
22 • submitter: Scraxxy

01-11-2022 • 19:38

22

Submitter: Scraxxy

Lees meer

Dropbox ontslaat 20 procent van personeel en 'heeft te veel managementlagen'
Dropbox ontslaat 20 procent van personeel en 'heeft te veel managementlagen' Nieuws van 30 oktober 2024
Dropbox gaat limiet stellen aan eerdere unlimited opslag in Advanced-abonnement
Dropbox gaat limiet stellen aan eerdere unlimited opslag in Advanced-abonnement Nieuws van 25 augustus 2023
Dropbox verliest functie om Google Docs, Sheets en Slides te maken en bewerken
Dropbox verliest functie om Google Docs, Sheets en Slides te maken en bewerken Nieuws van 5 juni 2023
Dropbox ontslaat 500 mensen om te kunnen investeren in AI
Dropbox ontslaat 500 mensen om te kunnen investeren in AI Nieuws van 28 april 2023
Bijna helft Nederlandse bevolking maakt zich weinig zorgen om online veiligheid
Bijna helft Nederlandse bevolking maakt zich weinig zorgen om online veiligheid Nieuws van 5 oktober 2022
Hackers simuleren browserpop-up om inloggegevens Steam-accounts te onderscheppen
Hackers simuleren browserpop-up om inloggegevens Steam-accounts te onderscheppen Nieuws van 13 september 2022
Microsoft waarschuwt voor Russische phishinggroep die 'narratief wil bepalen'
Microsoft waarschuwt voor Russische phishinggroep die 'narratief wil bepalen' Nieuws van 16 augustus 2022
Data klein aantal gebruikers van 2fa-app Authy ingezien bij hack moederbedrijf
Data klein aantal gebruikers van 2fa-app Authy ingezien bij hack moederbedrijf Nieuws van 11 augustus 2022
Politie houdt negen verdachten aan voor phishen van miljoenen euro's bij Belgen
Politie houdt negen verdachten aan voor phishen van miljoenen euro's bij Belgen Nieuws van 22 juni 2022
Privacywaakhond doet amper onderzoek naar datalekken die niet worden gemeld
Privacywaakhond doet amper onderzoek naar datalekken die niet worden gemeld Nieuws van 25 mei 2022
Man die 340.000 euro stal via Marktplaats-phishing krijgt vijf jaar celstraf
Man die 340.000 euro stal via Marktplaats-phishing krijgt vijf jaar celstraf Nieuws van 25 april 2022
Zeeuwse woningcorporatie meldt ook datalek na hack bij ict-dienstverlener
Zeeuwse woningcorporatie meldt ook datalek na hack bij ict-dienstverlener Nieuws van 6 april 2022
Vier woningcorporaties melden datalek na aanval op systemen
Vier woningcorporaties melden datalek na aanval op systemen Nieuws van 30 maart 2022
Sociale verhuurder deltaWonen meldt datalek van huurdersgegevens na inbraak
Sociale verhuurder deltaWonen meldt datalek van huurdersgegevens na inbraak Nieuws van 28 maart 2022
Meer producten en artikelen
Beveiliging en antivirus Privacy Dropbox Github Phishing

Reacties (22)

-Moderatie-faq
22
22
13
0
0
8
Wijzig sortering
Menesis 1 november 2022 19:50
Ik heb al eens een security incident van Dropbox gehad in 2013 2015, waardoor een onbekend aantal bestanden ineens wegwaren en kreeg toen eerst een jaar Dropbox Pro en daarna (na klagen dat dat vorobij was) nog eens 500 USD in Amazon gift cards. Heel vreemd eigenlijk.
Nu dit. Dat is genoeg een dienst waar ik persoonlijke gegevens bij onder breng.

[Reactie gewijzigd door Menesis op 23 juli 2024 17:05]

plakbandrol @Menesis1 november 2022 20:21
En dan had je nog het incident waar Dropbox uren lang het wachtwoord niet controleerde bij het inloggen waardoor iedereen op elk account kon inloggen.

https://www.cnet.com/news...tch-no-password-required/

[Reactie gewijzigd door plakbandrol op 23 juli 2024 17:05]

SlaadjeBla @Menesis1 november 2022 20:41
Er zijn er inderdaad meerdere geweest. Sinds dat moment is mijn specifieke dropbox e-mailadres een spamadres geworden.
In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).
source
Sponge @SlaadjeBla2 november 2022 07:31
Inderdaad, heb ik ook nog steeds. Daarom raad ik ook altijd aan om een e-mail adres per service te gebruiken. Zo heb ik ook heel veel spam en andere dubieuze mailtjes op linkedin@ waar ook 10 jaar geleden zo iets plaats vond. (Dropbox heeft nu ook een ander e-mail adres, we zullen zien)

Ook bij Nederlandse webshops heb ik op deze manier ontdekt dat er of gegevens gedeeld worden, of ook hun accounts database ergens beland is waar het niet hoort.

Een ander voordeel is ook dat als je ergens in een password database terecht komt - en je nog steeds een zelfde password gebruikt voor meerdere sites - het dropbox@ niet werkt bij de account tweakers@ ;).
Cerberus_tm 2 november 2022 02:07
Dit is dus waarom je nooit met inloggegevens van de ene dienst bij een andere moet inloggen. Dus niet met je Google-account bij de Epic Store inloggen, of zoiets (dat bieden Amerikaanse bedrijven vaak wel aan).

Verder is dit een reden waarom je een wachtwoordbeheerder moet gebruiken zoals Lastpass: de extensie in je browser zorgt ervoor dat je inloggegevens alleen worden ingevuld, als je echt op het bijbehorende domein bent.
Stpan @Cerberus_tm2 november 2022 03:15
Ben het helemaal met je eens, ik gebruik een wachtwoordmanager voor mijn prive en zakelijke accounts.

Waar mijn Big-5 IT consultancy werkgever het gebruik van een wachtwoordmanager aanmoedigt, is het de Big-4 accountancy werkgever van mijn vrouw die het gebruik blokkeert. (Ze kan via haar laptop niet inloggen op Dashlane)

Dus ik vraag me af wat de policy for Dropbox is.
robertlinke @Cerberus_tm2 november 2022 10:40
Dus niet met je Google-account bij de Epic Store inloggen
dit gaat 99% via Oauth2, en daarbij kna de andere partij dus nooit je wachtwoord zien, en zelfs niet opslaan, ze hebben dan alleen een token die geauthenticeerd is door een derde partij, die al wel je gegevens had.

https://en.wikipedia.org/wiki/OAuth

dus dit is WEL aan te raden.
Cerberus_tm @robertlinke2 november 2022 16:20
Daar gaat het dus niet om. Het gaat erom dat je, ten eerste, de ene dienst laat afhangen van de andere dienst. Je maakt je Epic-account afhankelijk van Google. Wat nou als je besluit geheel van Google af te stappen? Dat kan dan dus niet meer.

Ten tweede gaat het erom dat dit, zoals ik beschreef, je veel kwetsbaarder maakt voor phishing. Ik vul mijn Google-wachtwoord en 2FA(!) alléén in op Google.com en nergens anders. Maar anders zou ik ook op Epic.com en andere websites mijn Google-wachtwoord moeten invullen, geen goed idee. En bovendien totaal onnodig.
Spacejockey 1 november 2022 19:43
Waarom staan gebruikers gegevens en API sleutels in een Github repo?
Nas T @Spacejockey1 november 2022 20:54
Onwetendheid? Onkunde? Beide?
Het verbaast me hoe makkelijk mensen geneigd zijn commerciële (of andere, zoals religieuze) partijen thuis aan de deur te weren, maar online we zoveel weggeven, dat we praktisch een camera in de badkamer laten plaatsen.

Als we iets over onszelf moeten vertellen, dan zouden we misschien een presentatie maken van enkele slides. Maar een Google zou in realiteit al 32 gigabyte aan gegevens van je kunnen hebben. En dat is alleen nog maar Google, een goede drie jaar terug.
Anoniem: 25604 @Nas T2 november 2022 00:05
"IkWilDieApp-hebbenitis". Laat een marktverkoper of een kassamedewerker vragen of ze hun postcode, huisnummer o.i.d. mogen hebben... dan zijn de meesten terughoudend. Maar laat een vers gedownloade App uit een store (aangeraden door een collega, vriend, kennis of familie) diezelfde gegevens eens vragen bij de eerste keer opstarten en men is verkocht. }> En als er een gratis variant is van de App via een andere obscure store, is men zelf nog eerder verkocht.
synoniem 1 november 2022 20:43
Als je privacygevoelige gegevens wil opslaan bij een cloudservice moet je die lokaal encrypten en dan pas naar de clouddienst versturen. Of het nu Dropbox, Onedrive is of een andere dienst maakt niets uit vroeg of laat ben je als organisatie bij een groep hackers aan de beurt.
Bux666 @synoniem2 november 2022 12:05
Dat doet MEGA zelf, zodra je gaat uploaden. Van hun site:
All your data on MEGA is encrypted with a key derived from your password; in other words, your password is your main encryption key. MEGA does not have access to your password or your data. Using a strong and unique password will ensure that your data is protected from being hacked and gives you total confidence that your information will remain just that – yours.
vgroenewold 1 november 2022 21:47
Gelukkig pgp encrypt ik de meeste zaken die ik op dropbox zet, toch de voordelen van delen van bestanden en andere zaken maar dan alleen dat ik er wat mee kan.
Anoniem: 57411 2 november 2022 05:05
Deze mails linkten naar een externe website die CircleCI's website nabootst. Hier moesten de werknemers inloggen met hun GitHub-inloggegevens en met hun fysieke authenticatiesleutel een one-time-password doorgeven.
Twee zaken die ik hierin opmerkelijk vind: klikken op links in ongevraagde emails gebeurt nog te vaak en de authenticatie was blijkbaar niet van het type dat de website verifieert. Erg raar, want als ik het mij goed herinner kunnen dropbox accounts zelf wel gewoon op die manier beveiligd worden.

[Reactie gewijzigd door Anoniem: 57411 op 23 juli 2024 17:05]

ThinkPad 2 november 2022 08:41
Kent iemand een goed en veilig Europees alternatief voor Dropbox? Ik wil er eigenlijk graag weg, maar heb geen zin om zelf iets te hosten en te moeten onderhouden.
ItsFlokkie @ThinkPad2 november 2022 10:08
Je zou kunnen kijken naar Stackstorage van TransIP. Dit is volgens mij een eigen gehoste Nextcloud omgeving door TransIP. Heb jarenlang gratis 1TB aan opslag gehad. Werktte wel prima.
kuurtjes @ItsFlokkie2 november 2022 13:14
Enigste spijtige is dat ze die 1TB als actie eerst gratis weggaven en zeiden dat het voor altijd was, om daarna toch de vraagprijs te gaan vragen. Maar ik betaal er nu voor en ben best tevreden over de dienst.
Jeroen hofman @ThinkPad2 november 2022 10:32
Koop een nas (Synology of zo) inrichten zet deze in de meterkast en je bent klaar
Iedaal voor een cloud at home. Heb zelf een nas 3 jaar in gebruik, geen moment spijt.
docker netflix enz... kan overal ter wereld bij mijn gegevens.
Alles van mijn phone, laptop, mail alles sync naar de nas, iedere nacht een kopie naar de externe HD
inloggen via 2FA genoeg alliterative.
RobTweaks @Jeroen hofman2 november 2022 16:11
Iedere oplossing heeft zo zijn voor- en nadelen. Thuis is de kans op verstoringen van apparatuur weer groter, maar denk ook aan kans op brand/waterschade.

Als je je dat niet kunt permitteren, dan moet je dus off-site back-ups maken, misschien zelfs redundant inrichten. Etc.
Bux666 @ThinkPad2 november 2022 12:07
MEGA, maar dat zit in Nieuw-Zeeland. Zie mijn eerdere reactie op de post van synoniem.
divvid 2 november 2022 10:45
Mjn eerste vraag zou zijn:?waarom wil een bedrijf al dropbox uberhaupt haar code op een open platform als github hebben staan? Persoonlijk zou ik het op een zwaar beveiligde interne git server plaatsen. Keuze genoeg voor on premise platforms.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq