Dropbox-ek erasotzaileek GitHub-en ostatatutako 130 biltegi pribatuetarako sarbidea izan duten gertakari bati buruzko informazioa zabaldu du. Uste da arriskuan jarritako biltegietan Dropbox-en beharretarako aldatutako kode irekiko liburutegietako forkak, barne-prototipo batzuk, baita segurtasun taldeak erabilitako utilitateak eta konfigurazio fitxategiak ere. Erasoak ez du eraginik izan oinarrizko aplikazioetarako kodea eta azpiegitura elementu giltzarrietarako kodea zuten biltegietan, bereizita garatu baitziren. Azterketak erakutsi zuen erasoak ez zuela erabiltzaile-basearen filtraziorik edo azpiegituraren arriskurik ekarri.
Biltegietarako sarbidea phishing-aren biktima izan zen langileetako baten kredentzialak atzematearen ondorioz lortu zen. Erasotzaileek gutun bat bidali zioten langileari CircleCI etengabeko integrazio sistemaren abisu baten azpian, zerbitzu-arauen aldaketekin adostasuna berresteko betekizunarekin. Posta elektronikoko estekak CircleCI interfazearen antza duen webgune faltsu batera eraman zuen. Saio-hasiera orriak GitHub-en erabiltzaile-izena eta pasahitza sartzeko eskatu zuen, baita hardware-gako bat erabiltzeko behin-behineko pasahitza sortzeko bi faktoreko autentifikazioa gainditzeko.
Iturria: opennet.ru