Résumé

  • Confirmé:Dropbox a annoncé qu'en 2022, des attaquants ont obtenu par hameçonnage des identifiants GitHub d'employés, pénétré dans certains dépôts de code et copié du code et du matériel associé. Dropbox a déclaré que les dépôts ne contenaient pas de code pour les applications principales ou l'infrastructure, et que l'enquête n'a révélé aucun accès réussi aux comptes clients, mots de passe, informations de paiement ou fichiers clients.
  • Évaluation de la responsabilité:L'incident relève de la catégorie d'accès au code, non parce que des preuves publiques établissent une compromission en aval des données utilisateur, mais parce que les contrôles d'identité pour les plateformes de développement peuvent devenir des contrôles de confiance produit lorsque le code source, les outils internes, les clés API, les jetons d'automatisation et les références de configuration coexistent derrière le même chemin d'accès.
  • Test de réparation:La charge de réparation crédible ne consiste pas seulement à « faire tourner les secrets ». Il s'agit de savoir si Dropbox a pu démontrer, après l'hameçonnage, une couverture d'authentification résistante au phishing, une minimisation de l'accès aux dépôts, un inventaire des jetons, un scan des secrets, une restauration des journaux d'audit, des exceptions pour les développeurs et des limites d'incident orientées client.