Dropbox成網釣攻擊受害者，130個儲存庫遭駭客存取

Dropbox周一（11/1）坦承，該公司已成為網釣攻擊受害者，駭客在取得員工的登入憑證之後，存取了該公司存放在GitHub上的130個儲存庫。值得注意的是，駭客的手法日益精進，即使Dropbox員工使用了硬體身分認證金鑰，仍遭駭客入侵。

其實GitHub今年9月便曾警告，有駭客假冒持續整合與交付平臺CircleCI的名義，竊取GitHub用戶的憑證，雖然GitHub並未受害，但已影響許多採用GitHub的組織。

而攻擊Dropbox的駭客同樣也是假冒CircleCI。Dropbox說明，該公司使用GitHub來代管公開與私有儲存庫，也透過CircleCI進行內部部署，10月初便有許多員工收到偽裝成CircleCI的網釣郵件，雖然該公司的系統會自動過濾可疑郵件，但仍有些網釣郵件進入員工信箱，這些郵件要求Dropbox員工造訪一個偽造的CircleCI登入頁面，以輸入他們的GitHub使用者名稱及密碼，之後再要員工把硬體身分認證金鑰所產生的一次性密碼輸入該惡意網頁。

駭客即藉此成功取得了一些Dropbox員工的憑證，並存取了Dropbox位於GitHub的其中一個據點，複製了130個儲存庫。

這些儲存庫存放了Dropbox所修改過的第三方程式庫，Dropbox安全團隊所使用的工具與配置檔案，以及數千名Dropbox員工、客戶及供應商的姓名及電子郵件位址，幸好並未包含Dropbox核心程式或基礎設施的程式碼。

GitHub是在10月13日察覺與Dropbox有關的可疑活動，並於14日通知Dropbox，也在同一天關閉了駭客的存取權限。

就算使用OTP式硬體金鑰仍無法逃離被成功網釣的命運，而Dropbox其實已經開始規畫WebAuthn認證機制，搭配FIDO式硬體金鑰或生物辨識機制來抵擋網釣攻擊，預計很快就會全面部署。WebAuthn的最大優點之一是輸入憑證的網頁必須已儲存於認證裝置上，而讓網釣網頁失去效用。