Dropbox hefur birt upplýsingar um atvik þar sem árásarmenn fengu aðgang að 130 einkageymslum sem hýstar eru á GitHub. Fullyrt er að gagnageymslurnar hafi innihaldið gaffla frá núverandi opnum söfnum sem voru breyttar fyrir þarfir Dropbox, nokkrar innri frumgerðir, svo og tól og stillingarskrár sem öryggisteymið notar. Árásin hafði ekki áhrif á geymslur með kóða fyrir grunnforrit og lykilinnviðaþætti, sem voru þróuð sérstaklega. Greiningin sýndi að árásin leiddi ekki til leka á notendagrunni eða málamiðlun á innviðum.
Aðgangur að geymslunum fékkst með því að stöðva skilríki eins starfsmanna sem varð fórnarlamb vefveiða. Árásarmennirnir sendu starfsmanninum bréf í skjóli viðvörunar frá CircleCI samþættingarkerfinu með kröfu um að staðfesta samkomulag við breytingar á þjónustureglum. Hlekkurinn í tölvupóstinum leiddi til falsaðrar vefsíðu sem líkist CircleCI viðmótinu. Innskráningarsíðan bað um að slá inn notandanafn og lykilorð frá GitHub, auk þess að nota vélbúnaðarlykil til að búa til einu sinni lykilorð til að standast tveggja þátta auðkenningu.
Heimild: opennet.ru