Tokens en wachtwoorden gereset na phishingaanval op DeepSource
De tech-startup DeepSource uit India heeft alle gebruikerstokens, private keys en client secrets en inloggegevens en keys van werknemers gereset nadat een medewerker een phishingmail opende. DeepSource biedt bedrijven een oplossing voor het automatisch analyseren van codes om fouten te vinden.
Het bedrijf heeft zelf de situatie bekend gemaakt. DeepSource, die Uber, Slack, Intel en NASA als klant claimt te hebben, werd op 11 juli geïnformeerd door ontwikkelaarsplatform GitHub dat er halverwege juni verdachte activiteiten waren waargenomen voor verschillende DeepSource-gebruikers. Hierop besloot DeepSource niet alleen alle private keys, client secrets en gebruikertokens te resetten, maar ook de keys en inloggegevens van medewerkers die toegang hadden tot productiesystemen.
Werking
DeepSource ontving op 16 juli meer informatie van GitHub dat account van een GitHub-medewerker was gecompromitteerd. Het ging hierbij om een phishingaanval waarvoor GitHub in april al voor het eerst had gewaarschuwd. De aanval gaat door middel van een phishingmail waarin beweerd wordt dat er een verdachte activiteit is vastgesteld met het GitHub-account van de gebruiker.
Via een link is deze activiteit te controleren. En deze link wijst naar een phishingpagina die lijkt op de inlogpagina van GitHub. Deze website stuurt vervolgens gebruikersnamen en wachtwoorden naar de aanvallers. Als een gebruiker een TOTP-gebaseerde tweefactorauthenticatie ingeschakeld heeft, vraagt de phishingpagina hier ook om, en de hierna ingevoerde TOTP-codes worden real-time naar de aanvaller doorgestuurd. Hierna kan de aanvaller zo inloggen op het account.
Op deze manier kreeg de aanvaller toegang tot de GitHub-inloggegevens van DeepSource. Bedrijven kunnen onder andere via DeepSource hun GitHub-respositories laten controleren. De aanvaller heeft mogelijk door de gecompromitteerde inloggegevens toegang gekregen tot die respositories. GitHub waarschuwt de getroffen gebruikers van DeepSource, aangezien deze informatie niet met het bedrijf wordt gedeeld. DeepSource heeft hiernaast zelf ook klanten geïnformeerd.
Bron: Security.nl