Dropbox imefichua habari kuhusu tukio ambalo wavamizi walipata ufikiaji wa hazina 130 za kibinafsi zilizopangishwa kwenye GitHub. Inadaiwa kuwa hazina zilizoathiriwa zilikuwa na uma kutoka kwa maktaba huria zilizopo zilizorekebishwa kwa mahitaji ya Dropbox, baadhi ya mifano ya ndani, pamoja na huduma na faili za usanidi zinazotumiwa na timu ya usalama. Shambulio hilo halikuathiri hazina zilizo na msimbo wa matumizi ya kimsingi na vitu muhimu vya miundombinu, ambavyo vilitengenezwa tofauti. Uchanganuzi ulionyesha kuwa shambulio hilo halikusababisha kuvuja kwa msingi wa watumiaji au maelewano ya miundombinu.
Upatikanaji wa hazina ulipatikana kwa sababu ya kunasa kitambulisho cha mmoja wa wafanyikazi ambaye alikua mwathirika wa wizi wa data binafsi. Washambuliaji walituma mfanyikazi barua chini ya kivuli cha onyo kutoka kwa mfumo wa ujumuishaji unaoendelea wa CircleCI na hitaji la kudhibitisha makubaliano na mabadiliko ya sheria za huduma. Kiungo katika barua pepe kilipelekea tovuti ghushi iliyowekewa muundo kufanana na kiolesura cha CircleCI. Ukurasa wa kuingia uliulizwa kuingiza jina la mtumiaji na nenosiri kutoka kwa GitHub, na pia kutumia ufunguo wa maunzi kutengeneza nenosiri la wakati mmoja ili kupitisha uthibitishaji wa sababu mbili.
Chanzo: opennet.ru