Dropbox afhjúpaði upplýsingar um atvik þar sem árásarmenn fengu aðgang að 130 einkareknum gagnagrunnum sem hýstir voru á GitHub. Í gagnagrunnunum sem brotið var á gögnunum voru meint að þau innihéldu forka af núverandi opnum hugbúnaðarbókasöfnum sem höfðu verið aðlöguð að þörfum Dropbox, nokkrar innri frumgerðir, sem og tól og stillingarskrár sem öryggisteymið notaði. Árásin hafði ekki áhrif á gagnagrunna sem innihéldu kóða fyrir kjarnaforrit og lykilþætti innviða, sem voru þróaðir sérstaklega. Greining sýndi að árásin leiddi ekki til leka á notendagrunni eða brots á innviðum.
Aðgangur að gagnasöfnunum var fenginn með því að stöðva innskráningarupplýsingar starfsmanns sem hafði orðið fórnarlamb netveiða. Árásarmennirnir sendu starfsmanninum tölvupóst dulbúinn sem viðvörun frá samfelldu samþættingarkerfi CircleCI þar sem krafist var samþykkis fyrir breytingum á þjónustuskilmálum. Tengillinn í tölvupóstinum leiddi á falska vefsíðu sem var hönnuð til að líkjast CircleCI viðmótinu. Innskráningarsíðan bað notandann um að slá inn notandanafn og lykilorð sitt á GitHub, sem og að nota vélbúnaðarlykil til að búa til einskiptis lykilorð fyrir tveggja þátta auðkenningu.
Heimild: opennet.ru
