Dropbox te divilge enfòmasyon sou yon ensidan kote atakè yo te jwenn aksè nan 130 depo prive ki te anime sou GitHub. Yo swadizan ke depo konpwomèt yo te genyen fouchèt ki soti nan bibliyotèk sous louvri ki egziste deja modifye pou bezwen Dropbox, kèk pwototip entèn, osi byen ke sèvis piblik ak dosye konfigirasyon ekip sekirite a itilize. Atak la pa afekte depo ak kòd pou aplikasyon debaz ak eleman enfrastrikti kle, ki te devlope separeman. Analiz la te montre ke atak la pa te mennen nan yon flit nan baz itilizatè a oswa konpwomi nan enfrastrikti a.
Aksè nan depo yo te jwenn kòm rezilta nan entèsepte kalifikasyon yo nan youn nan anplwaye yo ki te vin viktim èskrokri. Atakè yo te voye anplwaye a yon lèt anba laparans yon avètisman nan sistèm entegrasyon kontinyèl CircleCI ak yon kondisyon pou konfime akò ak chanjman nan règ sèvis yo. Lyen ki nan imèl la te mennen nan yon fo sit entènèt ki sanble ak koòdone CircleCI. Paj koneksyon an te mande pou antre yon non itilizatè ak modpas soti nan GitHub, osi byen ke itilize yon kle pyès ki nan konpitè pou jenere yon modpas yon sèl fwa pou pase otantifikasyon de faktè.
Sous: opennet.ru