Dropboxは11月1日(米国時間)、「How we handled a recent phishing incident that targeted Dropbox - Dropbox」において、フィッシングキャンペーンの被害を受けたことを伝えた。10月初旬に複数のDropbox開発者がフィッシングメールを受け取り、DropboxのGitHubアカウントが標的にされたことが明らかとなった。
Dropboxはパブリックリポジトリおよびプライベートリポジトリの一部をGitHubで管理しており、一部の内部デプロイメントにCircleCIを使用している。2022年10月に確認されたフィッシングキャンペーンでは、メールを正規のように見せかけ、従業員に偽のCircleCIログインページにアクセスさせ、GitHubのユーザー名およびパスワードを入力してハードウェア認証キーを使ったワンタイム・パスワード(OTP: One Time Password)を悪意のあるWebサイトに送信するよう仕向けていたことがわかった。
このキャンペーンは最終的に成功し、脅威者はDropboxのGitHubの組織にアクセスできるようになり、130のコードリポジトリがコピーされたことが確認されている。
Dropboxで使用するために若干変更されたサードパーティのライブラリの独自コピー、内部プロトタイプ、セキュリティチームが使用するツールや設定ファイルなどが含まれたリポジトリがコピーされたが、Dropboxのコアアプリやインフラストラクチャに関するコードは含まれていなかったと説明している。
Dropboxのセキュリティチームは、不審な動きが検知された当日に脅威者のGitHubへの不正アクセスを無効化したという。盗まれた開発者の認証情報はすべて削除され、顧客データがアクセスまたは盗まれたかを確認するために調査が行われ、ログを確認して悪用された形跡はなかったと伝えている。また、外部のフォレンジック専門家に依頼して調査結果を検証するともに、適切な規制当局と法執行機関に報告したと述べられている。