Dropbox出现重大安全事故即便使用硬件安全密钥其员工还是被钓鱼了

知名云存储提供商 Dropbox 日前出现重大安全事故，其员工收到冒充 Github 的钓鱼邮件，竟然真的点击登录并使用了自己的硬件安全密钥登录成功。

所幸这次被盗的 130 个代码存储库只是第三库稍微修改的版本，因此没有私密信息，也没有造成内部敏感数据泄露，客户的账号和密码都是安全的。

事后调查发现，在 10 月 14 日 Github 向 Dropbox 管理员发送安全提醒，称有员工账号存在可疑行为，随后 Dropbox 开始调查。

在调查中 Dropbox 发现黑客冒充该公司使用的 CircleCI 代码集成和交付平台向员工发送钓鱼邮件，邮件中声称 CircleCI 服务协议已经变更，使用者必须同意新的协议才能继续使用自己的账号。

如果点击所谓的协议网站则会要求员工使用 Github 账号进行登录，如果中招的员工真填写了 Github 账号和密码，那会被立即发送给黑客。

更糟糕的是黑客还在钓鱼网站里要求受害者使用硬件安全密钥提供一次性验证码，最终导致黑客成功登录 Github 然后盗取了存储库。

只是还好没有敏感数据泄露，只是 Dropbox 必须得加强员工的安全培训。

钓鱼是一个老生常谈的话题，以这次事件为例，即便 CircleCI 平台需要使用 Github 账号登录，也会跳转到 Github 平台，而不是在 CircleCI 平台直接输入 Github 的账号和密码。

另外黑客制作的钓鱼邮件也非常粗糙，但显然在我们没有碰到这类钓鱼网站前，没人能保证不会一时头脑发生就信了黑客的鬼话。

在这里也再次提醒企业应该经常组织安全培训，毕竟一次数据泄露就有可能造成严重的安全后果。

最后 Dropbox 正在加速迁移到 WebAuthn 认证方式，例如在 Windows 平台会调用 Windows Hello 进行认证，这可以尽可能地确保员工只能在自己的电脑上登录账号，这样即便泄露账号密码也不至于被黑客远程登录。

当然无论是硬件密钥还是 WebAuthn 本身都没太大问题，安全环节最大的弱点永远都是人。

更多相关技术内容咨询欢迎前往并持续关注六星社区了解详情。

长按或扫描下方二维码，免费获取 Python公开课和大佬打包整理的几百G的学习资料，内容包含但不限于Python电子书、教程、项目接单、源码等等

0 条评论