Gibutyag sa Dropbox ang impormasyon bahin sa usa ka insidente diin ang mga tig-atake naka-access sa 130 ka pribadong mga repository nga gi-host sa GitHub. Giingon nga ang mga nakompromiso nga mga repositoryo adunay mga tinidor gikan sa naglungtad nga bukas nga gigikanan nga mga librarya nga gibag-o alang sa mga panginahanglanon sa Dropbox, pipila nga mga internal nga prototype, ingon man mga gamit ug mga file sa pag-configure nga gigamit sa grupo sa seguridad. Ang pag-atake wala makaapekto sa mga repository nga adunay code alang sa mga batakang aplikasyon ug mga importanteng elemento sa imprastraktura, nga gilain nga gimugna. Gipakita sa pag-analisar nga ang pag-atake wala magdala sa usa ka pagtulo sa base sa gumagamit o pagkompromiso sa imprastraktura.
Ang pag-access sa mga repository nakuha isip resulta sa pag-intercept sa mga kredensyal sa usa sa mga empleyado nga nahimong biktima sa phishing. Ang mga tig-atake nagpadala sa empleyado og usa ka sulat ubos sa pagtabon sa usa ka pasidaan gikan sa CircleCI nga padayon nga sistema sa panagsama nga adunay gikinahanglan nga pagkumpirma sa kasabutan sa mga pagbag-o sa mga lagda sa serbisyo. Ang link sa email nagdala sa usa ka peke nga website nga gi-istilo nga susama sa interface sa CircleCI. Ang panid sa pag-login gihangyo nga mosulod sa usa ka username ug password gikan sa GitHub, ingon man sa paggamit sa usa ka yawe sa hardware aron makamugna usa ka usa ka higayon nga password aron maipasa ang duha ka hinungdan nga panghimatuud.
Source: opennet.ru