Tra le grandi aziende e organizzazioni che in queste settimane sono state in qualche modo "bucate" grazie a campagne mirate di phishing possiamo inserire ora anche Dropbox. Uno dei nomi storici del cloud storage, con milioni di clienti aziendali e privati. Vittime dell'attacco sono stati alcuni dipendenti, che hanno incautamente "ceduto" le loro credenziali di accesso ai repository di codice conservati su GitHub.

Proprio GitHub ha avvisato Dropbox che qualcosa non andava, il che ha permesso di bloccare l'attacco e di limitarne i danni. Dopo l'avviso di attacco ricevuto da GitHub, Dropbox ha prima bloccato e poi resettato gli account coinvolti. Poi ha effettuato la necessaria due diligence interna "post mortem" e ha coinvolto alcuni esperti esterni di digital forensic per ulteriori indagini. ha anche fatto le debite comunicazioni alle autorità competenti.

A bocce (si spera) ferme, Dropbox ha ricostruito la dinamica di quanto accaduto. All'inizio di ottobre, racconta ora Dropbox, alcuni suoi dipendenti hanno ricevuto mail di phishing che gli attaccanti avevano "costruito" in modo da replicare le mail di sistema di CircleCI, una piattaforma di integrazione e deployment che Dropbox usa per alcuni suoi progetti software. I sistemi di protezione di Dropbox hanno intercettato e bloccato parte di queste mail, ma non tutte.

Alcuni sviluppatori di Dropbox hanno quindi ricevuto le email di phishing. Che, in una dinamica classica di furto di credenziali, contenevano link verso una finta pagina web di CircleCI in cui era richiesto di inserire username e password dell'account GitHub del malcapitato utente. Queste credenziali, una volta carpite, erano il primo passo per accedere ai repository di codice di alcuni progetti Dropbox.

Dato che Dropbox usa sistemi di autenticazione multifattore per l'accesso a certi sistemi, il secondo passo è stato aggirare anche questi. Gli attaccanti hanno potuto farlo sempre usando il loro finto sito CircleCI, invitando gli sviluppatori colpiti a inserire proprio lì la password monouso (One Time Password, OTP) generata dal sistema MFA. In questo modo è stato possibile accedere effettivamente ad alcuni repository di codice. Per la precisione a 130, che sono stati copiati dagli attaccanti.

GitHub conosce bene questo tipo di attacco perché lo ha già visto effettuare, in una modalità più "a pioggia" e non mirata, a metà settembre. In quel periodo una campagna massiva di phishing che impersonava sempre CircleCI aveva colpito numerose aziende, con la violazione di diversi repository di codice. Anche sulla base di questa esperienza, GitHub ha avvisato Dropbox che stava subendo la stessa violazione.

Il "bottino" degli attaccanti non è stato, secondo Dropbox, significativo e soprattutto non mette a rischio gli utenti del suo cloud storage. Gli hacker ostili hanno potuto trafugare codice di alcune librerie pubbliche modificate dagli sviluppatori Dropbox, prototipi software a uso interno, tool e file di configurazione usati dal team sicurezza. Non sono stati sottratti spezzoni di codice legati ai servizi "core" di Dropbox o alla sua infrastruttura, perché l'accesso ai relativi repository è controllato in maniera più solida rispetto ai repository colpiti.

È però stato confermato che i repository trafugati contenevano anche "poche migliaia" di coppie nome-email appartenenti a dipendenti, clienti attivi e non più attivi, venditori e distributori di Dropbox. Il rischio legato alla circolazione di questi dati viene giudicato "minimo", le persone coinvolte sono state comunque avvisate. Il fatto importante, secondo Dropbox, è che gli attaccanti non hanno mai avuto accesso "ai contenuti di qualunque account Dropbox, alla sua password, alle sue informazioni di pagamento".

La morale tecnica

Lato tecnico, la morale dell'attacco è che oggigiorno non sono più sicuri nemmeno i sistemi di autenticazione multifattore con password OTP. Sempre più spesso gli attaccanti realizzano pagine con cui carpire questi codici per usarli a proprio vantaggio. In questa classe di autenticazioni non sempre abbastanza sicure rientrano le OTP, le notifiche push e le password monouso a scadenza temporale (Time-based One-Time Password, TOTP).

Secondo Dropbox - che ora ne velocizzerà l'adozione, già parzialmente iniziata - e secondo molte altre aziende la soluzione al problema sta in WebAuthn, un protocollo per l'autenticazione a servizi e siti web che si basa sugli stessi principi della crittografia a chiave pubblica. E che, soprattutto, prevede l'autenticazione di un utente attraverso un dispositivo hardware e non solo con la generazione di codici.

Il dispositivo hardware in questione serve a contenere in maniera "blindata" le chiavi digitali usate nei processi di autenticazione, chiavi che vengono generate nella fase di prima registrazione a un sito o un servizio. Operativamente, l'utente poi si identifica usando un token fisico esterno al suo computer oppure usando un sistema di identificazione fisica integrato, come un lettore di impronte digitali. In ogni caso, l'utente che accede a una risorsa protetta deve fisicamente essere quello che ne ha davvero il diritto.