Mae Dropbox wedi datgelu gwybodaeth am ddigwyddiad lle cafodd ymosodwyr fynediad i 130 o ystorfeydd preifat a gynhaliwyd ar GitHub. Honnir bod yr ystorfeydd dan fygythiad yn cynnwys ffyrch o lyfrgelloedd ffynhonnell agored presennol a addaswyd ar gyfer anghenion Dropbox, rhai prototeipiau mewnol, yn ogystal â chyfleustodau a ffeiliau cyfluniad a ddefnyddir gan y tîm diogelwch. Ni effeithiodd yr ymosodiad ar ystorfeydd gyda chod ar gyfer cymwysiadau sylfaenol ac elfennau seilwaith allweddol, a ddatblygwyd ar wahân. Dangosodd y dadansoddiad nad oedd yr ymosodiad wedi arwain at ollyngiad yn y sylfaen defnyddwyr na chyfaddawdu'r seilwaith.
Cafwyd mynediad i'r cadwrfeydd o ganlyniad i ryng-gipio tystlythyrau un o'r gweithwyr a ddaeth yn ddioddefwr gwe-rwydo. Anfonodd yr ymosodwyr lythyr at y gweithiwr dan gochl rhybudd gan system integreiddio barhaus CircleCI gyda gofyniad i gadarnhau cytundeb â newidiadau i reolau gwasanaeth. Arweiniodd y ddolen yn yr e-bost at wefan ffug a oedd yn debyg i ryngwyneb CircleCI. Gofynnodd y dudalen mewngofnodi i nodi enw defnyddiwr a chyfrinair o GitHub, yn ogystal â defnyddio allwedd caledwedd i gynhyrchu cyfrinair un-amser i basio dilysiad dau ffactor.
Ffynhonnell: opennet.ru