Dropbox malkaŝis informojn pri okazaĵo en kiu atakantoj akiris aliron al 130 privataj deponejoj gastigitaj en GitHub. Estas supozite ke la kompromititaj deponejoj enhavis forkojn de ekzistantaj malfermfontaj bibliotekoj modifitaj por la bezonoj de Dropbox, kelkajn internajn prototipojn, same kiel servaĵojn kaj agordodosierojn uzitajn fare de la sekureca teamo. La atako ne influis deponejojn kun kodo por bazaj aplikoj kaj ŝlosilaj infrastrukturelementoj, kiuj estis evoluigitaj aparte. La analizo montris, ke la atako ne kaŭzis likon de la uzantbazo aŭ kompromison de la infrastrukturo.
Aliro al la deponejoj estis akirita kiel rezulto de kapti la akreditaĵojn de unu el la dungitoj kiuj iĝis viktimo de phishing. La atakantoj sendis al la dungito leteron sub la alivestiĝo de averto de la daŭra integriga sistemo CircleCI kun postulo konfirmi interkonsenton kun ŝanĝoj al la reguloj de servo. La ligo en la retpoŝto kondukis al falsa retejo stilita por simili la CircleCI-interfacon. La ensalutpaĝo petis enigi uzantnomon kaj pasvorton de GitHub, kaj ankaŭ uzi aparatan ŝlosilon por generi unufojan pasvorton por pasigi dufaktoran aŭtentikigon.
fonto: opennet.ru