Dropbox-ը տեղեկատվություն է հրապարակել մի միջադեպի մասին, որի ժամանակ հարձակվողները մուտք են գործել GitHub-ում տեղակայված 130 մասնավոր պահոց: Ենթադրվում է, որ վտանգված պահոցները պարունակում էին պատառաքաղներ առկա բաց կոդով գրադարաններից, որոնք փոփոխվել են Dropbox-ի կարիքների համար, որոշ ներքին նախատիպեր, ինչպես նաև անվտանգության թիմի կողմից օգտագործվող կոմունալ ծառայություններ և կազմաձևման ֆայլեր: Հարձակումը չի ազդել հիմնական հավելվածների և հիմնական ենթակառուցվածքի տարրերի կոդով պահեստների վրա, որոնք մշակվել են առանձին: Վերլուծությունը ցույց է տվել, որ հարձակումը չի հանգեցրել օգտատերերի բազայի արտահոսքի կամ ենթակառուցվածքի խախտման:
Պահեստների մուտքը ձեռք է բերվել ֆիշինգի զոհ դարձած աշխատակիցներից մեկի հավատարմագրերը գաղտնալսելու արդյունքում։ Հարձակվողները նամակ են ուղարկել աշխատակցին CircleCI շարունակական ինտեգրման համակարգից նախազգուշացման անվան տակ՝ ծառայության կանոնների փոփոխությունների համաձայնությունը հաստատելու պահանջով: Էլեկտրոնային փոստի հղումը հանգեցրեց կեղծ վեբկայքի, որը նման էր CircleCI ինտերֆեյսին: Մուտքի էջը խնդրել է մուտքագրել օգտանուն և գաղտնաբառ GitHub-ից, ինչպես նաև օգտագործել ապարատային բանալի՝ մեկանգամյա գաղտնաբառ ստեղծելու համար՝ երկգործոն նույնականացումն անցնելու համար:
Source: opennet.ru