Dropbox parantos ngungkabkeun inpormasi ngeunaan kajadian dimana panyerang ngagaduhan aksés ka 130 repositori pribadi anu di-host dina GitHub. Disangka yén repositori anu dikompromi ngandung garpu tina perpustakaan open source anu tos aya anu dirobih pikeun kabutuhan Dropbox, sababaraha prototipe internal, ogé utilitas sareng file konfigurasi anu dianggo ku tim kaamanan. Serangan éta henteu mangaruhan repositori nganggo kode pikeun aplikasi dasar sareng elemen infrastruktur konci, anu dikembangkeun nyalira. Analisis nunjukkeun yén serangan éta henteu nyababkeun kabocoran dasar pangguna atanapi kompromi infrastruktur.
Aksés ka repositories dicandak salaku hasil tina intercepting kredensial salah sahiji karyawan anu jadi korban phishing. Para panyerang ngirim surat ka karyawan dina kedok peringatan ti sistem integrasi kontinyu CircleCI kalayan sarat pikeun ngonfirmasi perjangjian sareng parobihan kana aturan palayanan. Tautan dina email nyababkeun halaman wéb palsu anu digayakeun nyarupaan antarmuka CircleCI. Kaca login dipenta pikeun nuliskeun ngaran pamaké sarta sandi ti GitHub, kitu ogé ngagunakeun konci hardware pikeun ngahasilkeun sandi hiji-waktos lulus auténtikasi dua-faktor.
sumber: opennet.ru