Dropbox、フィッシングが原因でGitHubで一部のコードが流出

Dropboxは11月1日(米国時間)、「How we handled a recent phishing incident that targeted Dropbox - Dropbox」において、フィッシングキャンペーンの被害を受けたことを伝えた。10月初旬に複数のDropbox開発者がフィッシングメールを受け取り、DropboxのGitHubアカウントが標的にされたことが明らかとなった。

Dropboxはパブリックリポジトリおよびプライベートリポジトリの一部をGitHubで管理しており、一部の内部デプロイメントにCircleCIを使用している。2022年10月に確認されたフィッシングキャンペーンでは、メールを正規のように見せかけ、従業員に偽のCircleCIログインページにアクセスさせ、GitHubのユーザー名およびパスワードを入力してハードウェア認証キーを使ったワンタイム・パスワード(OTP: One Time Password)を悪意のあるWebサイトに送信するよう仕向けていたことがわかった。