Dropbox แจงเหตุข้อมูลรั่วไหลจากการที่พนักงานถูก Phishing

Dropbox ได้เปิดเผยเหตุการณ์ที่องค์กรตกเป็นเหยื่อของ Phishing จนทำให้ Repository ของตนถูกคนร้ายเข้ามาขโมยข้อมูลได้

เมื่อวันที่ 13 ตุลาคมที่ผ่านมา Dropbox ได้รับการแจ้งเตือนจาก GitHub ถึงกิจกรรมต้องสงสัย หลังจากการสืบเสาะ วันต่อมาก็พบการบุกรุกใน Repository กว่า 130 รายการ โดยเหตุเกิดจากการที่พนักงานถูก Phishing ซึ่งคนร้ายปลอมอีเมลเป็นแพลตฟอร์ม CI/CD ที่ชื่อ CircleCI ร้องขอให้ล็อกอิน

Dropbox ได้เปิดเผยถึงผลกระทบกับบริษัทว่า “จากการสืบสวนพบว่าโค้ดที่ถูกเข้าถึงมี Credential อยู่บ้างและ API Keys ที่ใช้โดยนักพัฒนาของเรา รวมถึงไลบรารีจาก Third-party ที่เรานำมาปรับปรุงใช้ภายใน ไปจนถึงโค้ด Prototype เครื่องมือบางส่วน ไฟล์คอนฟิคของทีมด้านความมั่นคงปลอดภัย อย่างไรก็ตามไม่มีโค้ดหลักของแอปหรือ Infrastructure เนื่องจากมีการจำกัดการเข้าถึงเหล่านั้นอย่างเข้มข้น” ยังมีบางช่วงของถ้อยแถลงการณ์ที่ระบุถึงข้อมูลบุคคลคือ “มีข้อมูลบางส่วนที่กระทบถึงบุคคลหลายพันชื่อ โดยเป็นชื่อและอีเมลของพนักงาน รวมถึงลูกค้า Dropbox ทั้งปัจจุบันและในอดีต เซลล์ และ Vendor” ซึ่งหลายพันอาจฟังดูไม่มากนักเมื่อเทียบกับผู้ลงทะเบียนกว่า 700 ล้านคนของ Dropbox

เป็นอีกหนึ่งเหตุการณ์ที่ Phishing ทำงานได้สำเร็จแม้กับบริษัทเทคโนโลยีรายใหญ่ก็ตกเป็นเหยื่อได้ อย่างไรก็ดีทีมงาม Dropbox กำลังพยายามอุดปัญหาผลกระทบจากข้อมูลที่รั่วไหลออกไปด้วยการใช้ WebAuth และ Hardware Token หรือ Biometric ทั้งนี้กลเม็ดการปลอมเป็น CircleCI เพื่อเล่นงานผู้ใช้บน GitHub อย่างเจาะจงมีให้เห็นมาตั้งแต่เดือนกันยายนแล้ว

ที่มา : https://www.bleepingcomputer.com/news/security/dropbox-discloses-breach-after-hacker-stole-130-github-repositories/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …

ActiveMedia ขอเชิญเข้าฟัง Webinar “Next-Generation Data Protection for Your Business” 23 ก.ค. เวลา 14:00 น.

องค์กรของคุณพร้อมรับมือกับความท้าทายด้านข้อมูลในยุคดิจิทัลแล้วหรือยัง?