Dropbox ha divulgato i dettagli di un incidente in cui gli aggressori hanno ottenuto l'accesso a 130 repository privati ospitati su GitHub. I repository compromessi contenevano presumibilmente fork di librerie open source esistenti, modificate per le esigenze di Dropbox, alcuni prototipi interni, nonché utility e file di configurazione utilizzati dal team di sicurezza. L'attacco non ha interessato i repository contenenti codice per le applicazioni principali e gli elementi chiave dell'infrastruttura, sviluppati separatamente. L'analisi ha dimostrato che l'attacco non ha causato perdite di dati nella base utenti né compromissione dell'infrastruttura.
L'accesso ai repository è stato ottenuto intercettando le credenziali di un dipendente vittima di una truffa di phishing. Gli aggressori hanno inviato al dipendente un'e-mail camuffata da avviso del sistema di integrazione continua di CircleCI, chiedendo il consenso alle modifiche ai termini del servizio. Il link nell'e-mail conduceva a un sito web falso, il cui stile ricordava l'interfaccia di CircleCI. La pagina di accesso richiedeva all'utente di inserire il proprio nome utente e password GitHub, nonché di utilizzare una chiave hardware per generare una password monouso per l'autenticazione a due fattori.
Fonte: opennet.ru
