Сервис облачного хранения данных Dropbox сообщил об успешной хакерской атаке. Обычно компании умалчивают о таком, но нововведения в законодательстве Европы и США таковы, что теперь выгоднее самим признаться во взломе и утечке данных, в ином случае можно нарваться на очень суровый штраф.
Dropbox подробно рассказал о взломе в своём блоге. По словам компании, он был осуществлён через одного из его сотрудников, который обладал доступом к исходному коду Dropbox и базам файлов на GitHub. Хакеры методом социальной инженерии подсунули сотруднику фишинговую ссылку, тот перешёл по ней, ввёл логин и пароль, в результате чего, сам того не осознавая, передал эти данные злоумышленникам. Обманным путём они также получили от него ключи для двухфакторной аутентификации.
В результате у хакеров оказался доступ примерно к 130 репозиториям Dropbox, где в том числе хранятся утилиты, файлы и библиотеки, отвечающие за безопасность. Исходный код приложений не попал к злодеям, поэтому пользовательские данные по-прежнему защищены от несанкционированного доступа.
Сейчас специалисты Dropbox внедряют в свои проекты дополнительную защиту. Доступ к ним будет обеспечиваться с помощью аппаратных токенов и биометрии, что должно исключить возможность удалённого взлома с помощью простейших фишинговых атак.
Dropbox уже подвергался взлому, причём тогда утекали пользовательские логины и пароли. Сервис замалчивал об этих случаях, о них становилось известно лишь тогда, когда данные пользователей оказывались в хакерских утечках, в том числе опубликованных в открытом доступе.