El servicio de alojamiento de archivos Dropbox ha revelado este martes que fue víctima de una campaña de phishing que permitió a actores de amenazas no identificados acceder sin autorización a 130 de sus repositorios de código fuente en GitHub.

“Estos repositorios incluían nuestras propias copias de bibliotecas de terceros ligeramente modificadas para su uso por Dropbox, prototipos internos y algunas herramientas y archivos de configuración utilizados por el equipo de seguridad”, reveló la compañía en un aviso.

La brecha resultó en el acceso de algunas claves de API utilizadas por los desarrolladores de Dropbox, así como “unos cuantos miles de nombres y direcciones de correo electrónico pertenecientes a empleados de Dropbox, clientes actuales y pasados, clientes potenciales y proveedores.”

Sin embargo, subrayó que los repositorios no contenían código fuente relacionado con sus aplicaciones principales o su infraestructura.

Dropbox, que ofrece servicios de almacenamiento en la nube, copia de seguridad de datos y firma de documentos, entre otros, tiene más de 17,37 millones de usuarios de pago y 700 millones de usuarios registrados hasta agosto de 2022.

La revelación se produce más de un mes después de que tanto GitHub como CircleCI advirtieran de los ataques de phishing diseñados para robar las credenciales de GitHub a través de notificaciones falsas que simulan ser de la plataforma CI/CD.

Info – Ciberseguridad Latam