Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Acceso no autorizado a datos de Dropbox en GitHub

Fecha de publicación 07/11/2022

Dropbox ha publicado un comunicado en el que reconoce haber sido víctima de una campaña de phishing que fue aprovechada para acceder a código almacenado en GitHub. Concretamente, GitHub alertó a Dropbox sobre un comportamiento sospechoso por el que un tercero suplantó a CircleCI (plataforma de integración y entrega continua) y accedió a la cuenta.

En conjunto, el atacante consiguió acceso a 130 repositorios de código, incluyendo miles de nombres y direcciones de correo electrónico de empleados de Dropbox, así como de clientes actuales y pasados, además de clientes potenciales de ventas y proveedores. Adicionalmente, el atacante tuvo acceso a copias de librerías de terceros modificadas, prototipos internos y algunas herramientas y archivos de configuración empleados por el equipo de seguridad.