Adathalász incidens a Dropboxnál
A Dropbox elismerte, hogy adathalászat áldozata lett, ami miatt a támadók lemásoltak 130 privát GitHub fiókot, és elloptak néhány titkos API hitelesítő adatot. A Dropbox kijelentette, hogy a támadók nem fértek hozzá senki személyes tartalmaihoz, jelszavaihoz vagy fizetési információihoz, az incidenset gyorsan kezelték.
A biztonsági esemény október 13-án történt, amikor a Microsoft GitHub fiókja gyanús viselkedést észlelt a Dropbox vállalati fiókjában. A GitHub másnap értesítette a Dropboxot, ahol megállapítottk, hogy egy adathalász áldozata lett a cég, amikor alkalmazottjuk hivatalosnak tűnő levelekbe ágyazott megtévesztő linken keresztül megadták a bejelentési adataikat, majd hitelesítési kulcs által generált egyszeri jelszót (OTP) a rosszindulatú weboldalnak.
A cég közleménye szerint már dolgoznak az ilyen jellegű incidensek hatásainak csökkentésén, a kéttényezős hitelesítési rendszereket a WebAuthn többtényezős hitelesítésre frissítik és hamarosan hardveres tokeneket vagy biometrikus tényezőket fog használni a teljes környezetében.