Dropbox は、攻撃者が GitHub でホストされている 130 のプライベート リポジトリにアクセスした事件に関する情報を公開しました。侵害されたリポジトリには、Dropbox のニーズに合わせて変更された既存のオープンソース ライブラリからのフォーク、一部の内部プロトタイプ、セキュリティ チームが使用するユーティリティや設定ファイルが含まれていたとされています。この攻撃は、個別に開発された基本的なアプリケーションと主要なインフラストラクチャ要素のコードを含むリポジトリには影響を与えませんでした。分析の結果、この攻撃がユーザー ベースの漏洩やインフラストラクチャの侵害につながることはなかったことがわかりました。
リポジトリへのアクセスは、フィッシングの被害者となった従業員の 1 人の資格情報を傍受した結果として取得されました。攻撃者は、CircleCI 継続的統合システムからの警告を装って、サービス ルールの変更への同意を確認するよう要求する手紙を従業員に送りました。電子メール内のリンクは、CircleCI インターフェイスに似たスタイルの偽の Web サイトにつながりました。ログイン ページでは、GitHub からユーザー名とパスワードを入力するとともに、ハードウェア キーを使用して 2 要素認証に合格するためのワンタイム パスワードを生成するよう求められました。
出所: オープンネット.ru