Dropbox hat ynformaasje iepenbiere oer in ynsidint wêryn oanfallers tagong krigen ta 130 privee repositories hosted op GitHub. It wurdt beweare dat de kompromittearre repositories foarken befette fan besteande iepen boarne-biblioteken oanpast foar Dropbox's behoeften, guon ynterne prototypes, lykas ek nutsbedriuwen en konfiguraasjebestannen brûkt troch it befeiligingsteam. De oanfal hie gjin ynfloed op repositories mei koade foar basisapplikaasjes en wichtige ynfrastruktuer-eleminten, dy't apart ûntwikkele waarden. De analyze liet sjen dat de oanfal net liede ta in lek fan 'e brûkersbasis of kompromis fan' e ynfrastruktuer.
Tagong ta de repositories waard krigen as gefolch fan it ûnderskeppen fan de bewiisbrieven fan ien fan 'e meiwurkers dy't in slachtoffer waard fan phishing. De oanfallers stjoerde de meiwurker in brief ûnder it mom fan in warskôging fan it CircleCI trochgeande yntegraasjesysteem mei in eask om oerienkomst te befêstigjen mei feroaringen oan 'e regels fan tsjinst. De kepling yn 'e e-post late ta in falske webside stylearre om te lykjen op de CircleCI-ynterface. De oanmeldside frege om in brûkersnamme en wachtwurd yn te fieren fan GitHub, en ek in hardware-kaai te brûken om in ienmalige wachtwurd te generearjen om twa-faktor-autentikaasje troch te jaan.
Boarne: opennet.ru