A Dropbox nyilvánosságra hozott információkat egy incidensről, amelynek során a támadók 130 GitHubon tárolt privát adattárhoz jutottak hozzá. Állítólag a feltört adattárak a Dropbox igényeinek megfelelően módosított nyílt forráskódú könyvtárakból származó villákat, néhány belső prototípust, valamint a biztonsági csapat által használt segédprogramokat és konfigurációs fájlokat tartalmaztak. A támadás nem érintette az alapvető alkalmazások kódját és a kulcsfontosságú infrastruktúraelemeket tartalmazó tárolókat, amelyeket külön fejlesztettek ki. Az elemzés kimutatta, hogy a támadás nem vezetett a felhasználói bázis kiszivárgásához vagy az infrastruktúra kompromittálásához.
Az adattárakhoz való hozzáférést az egyik alkalmazott hitelesítő adatainak lehallgatása eredményeként szerezték meg, aki adathalászat áldozatává vált. A támadók levelet küldtek az alkalmazottnak a CircleCI folyamatos integrációs rendszeréből származó figyelmeztetés leple alatt azzal a követelménnyel, hogy erősítse meg a szolgáltatási szabályzat módosításával való egyetértését. Az e-mailben található hivatkozás egy hamis webhelyre vezetett, amely a CircleCI felületére emlékeztet. A bejelentkezési oldalon meg kell adni a GitHub felhasználónevét és jelszavát, valamint hardveres kulcs használatával egyszeri jelszót kell generálni a kétfaktoros hitelesítés átadásához.
Forrás: opennet.ru