Dropbox a divulgué des informations sur un incident au cours duquel des attaquants ont accédé à 130 référentiels privés hébergés sur GitHub. Il est allégué que les référentiels compromis contenaient des forks de bibliothèques open source existantes modifiées pour les besoins de Dropbox, certains prototypes internes, ainsi que des utilitaires et des fichiers de configuration utilisés par l'équipe de sécurité. L'attaque n'a pas affecté les référentiels contenant le code des applications de base et les éléments clés de l'infrastructure, qui ont été développés séparément. L'analyse a montré que l'attaque n'a pas entraîné de fuite de la base d'utilisateurs ni de compromission de l'infrastructure.
L'accès aux référentiels a été obtenu grâce à l'interception des informations d'identification de l'un des employés victime de phishing. Les attaquants ont envoyé à l'employé une lettre sous couvert d'avertissement du système d'intégration continue CircleCI avec l'obligation de confirmer son accord avec les modifications des règles de service. Le lien contenu dans l’e-mail menait à un faux site Web conçu pour ressembler à l’interface CircleCI. La page de connexion demandait de saisir un nom d'utilisateur et un mot de passe de GitHub, ainsi que d'utiliser une clé matérielle pour générer un mot de passe à usage unique afin de passer l'authentification à deux facteurs.
Source: opennet.ru