Dropbox洩130代碼儲存庫 黑客傳網絡釣魚 騙員工登入憑證
原文刊於信報財經新聞「StartupBeat創科鬥室」
港人常用的互聯網檔案分享服務商Dropbox,全球各地擁有7億註冊用戶,周二(1日)Dropbox承認有黑客透過網絡釣魚,成功盜取其員工憑證後,再登入軟件代碼託管平台GitHub,複製了130個代碼儲存庫。事後Dropbox已通知受影響人士,並聘請外部法律專家驗證調查結果,並把個案通報監管機構及執法部門。
冒CircleCI電郵 盜數千客姓名
電腦網站Bleeping Computer報道,GitHub檢測到Dropbox的公司賬戶,自上月13日起出現一些可疑活動。後來揭發,有黑客發送冒充持續集成和交付平台CircleCI的電郵,再引導多名Dropbox員工訪問虛假登錄頁面,誘騙他們輸入GitHub用戶名稱和密碼,甚至要求使用硬件認證密鑰,向惡意網站發送一次性密碼(OTP)。
Dropbox使用CircleCI進行一些內部配置,用戶可透過GitHub賬戶登錄CircleCI,黑客便針對此漏洞開展網釣攻擊。今次被入侵的GitHub儲存庫,包括專為Dropbox而設的第三方程式庫、內部原型,以及安全團隊使用的一些工具及配置文件,幸好不包含核心應用程式或基礎設施代碼。
黑客對GitHub儲存庫的訪問權限,已於10月14日被撤銷。今次被存取的代碼及相關數據,除了Dropbox開發人員使用的API(應用程式介面)密鑰,還包括數千個姓名及電郵地址,屬於Dropbox員工、現在及以往的客戶、銷售線索和供應商等,但強調沒有任何個人的內容、密碼或付款訊息外洩。
擬採Web身份驗證增保障
Dropbox安全團隊認為,網釣攻擊防不勝防,畢竟對於許多人來說,點擊鏈接和打開附件是日常工作之一,即使警覺性最高的專業人士,亦可能誤墮陷阱。為防止類似事件重演,Dropbox打算加快採用WebAuthn(Web身份驗證),透過硬件令牌或生物特徵,以多重方式驗證身份。
此外,調查機構Check Point Research最近發布了第三季度品牌網釣報告,重點介紹黑客模仿的主要品牌,當中最多採用的為國際物流公司DHL,佔全球網釣攻擊的22%。緊隨其後均為科技品牌,分別是微軟(16%)、LinkedIn(11%)、Google(6%)及Netflix(5%)。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
Related Posts
POPULAR POSTS
-
Call的士APP|的士又傳加價?Call的士APP哪一款最熱門?電子支付回贈幾多?HK Taxi滿意度最高?
-
自動駕駛|應科院自動駕駛穿梭巴士今年載客 穿梭西九文化區 配備車聯網科技
-
生成式AI投資|生成式AI去年吸1968億 較前年飆8倍 美國佔61個模型佔主導 內地持專利最多
-
香港首個自主訓練AI模型|科大領導研究 支援中文英語
-
個人電腦AI化|AMD今季推AI桌面CPU Ryzen PRO系列設16型號 第二季起支援惠普聯想等設備
-
中國速度的低空經濟(廖錦興博士)
-
曇花一現?|iOS首款紅白機模擬器 作者出於恐懼主動下架
-
家用電動車充電器|施耐德充電器 首100名客戶優惠價6980元
-
圖文並茂溝通有法(鄧淑明博士)
-
電動車能源|港企研氫燃料電池 轉化率提三成安全性可保障
