Dropbox zveřejnil informace o incidentu, při kterém útočníci získali přístup ke 130 soukromým úložištím hostovaným na GitHubu. Údajně kompromitovaná úložiště obsahovala forky ze stávajících open source knihoven upravených pro potřeby Dropboxu, některé interní prototypy a také nástroje a konfigurační soubory používané bezpečnostním týmem. Útok se nedotkl repozitářů s kódem pro základní aplikace a klíčové prvky infrastruktury, které byly vyvíjeny samostatně. Analýza ukázala, že útok nevedl k úniku uživatelské základny nebo kompromitaci infrastruktury.
Přístup do úložišť byl získán v důsledku zachycení přihlašovacích údajů jednoho ze zaměstnanců, který se stal obětí phishingu. Útočníci zaslali zaměstnanci dopis pod rouškou varování systému průběžné integrace CircleCI s požadavkem na potvrzení souhlasu se změnami pravidel služby. Odkaz v e-mailu vedl na falešnou webovou stránku stylizovanou tak, aby připomínala rozhraní CircleCI. Přihlašovací stránka požádala o zadání uživatelského jména a hesla z GitHubu a také o použití hardwarového klíče pro vygenerování jednorázového hesla pro předání dvoufaktorové autentizace.
Zdroj: opennet.ru