దాడి చేసేవారు GitHubలో హోస్ట్ చేసిన 130 ప్రైవేట్ రిపోజిటరీలకు యాక్సెస్ని పొందిన సంఘటన గురించి Dropbox సమాచారాన్ని బహిర్గతం చేసింది. రాజీపడిన రిపోజిటరీలు డ్రాప్బాక్స్ అవసరాల కోసం సవరించిన ఇప్పటికే ఉన్న ఓపెన్ సోర్స్ లైబ్రరీల నుండి ఫోర్క్లు, కొన్ని అంతర్గత నమూనాలు, అలాగే భద్రతా బృందం ఉపయోగించే యుటిలిటీలు మరియు కాన్ఫిగరేషన్ ఫైల్లను కలిగి ఉన్నాయని ఆరోపించబడింది. బేసిక్ అప్లికేషన్లు మరియు విడిగా డెవలప్ చేయబడిన కీలకమైన ఇన్ఫ్రాస్ట్రక్చర్ ఎలిమెంట్స్ కోసం కోడ్తో రిపోజిటరీలను దాడి ప్రభావితం చేయలేదు. ఈ దాడి వినియోగదారు బేస్ లీక్కి దారితీయలేదని లేదా మౌలిక సదుపాయాలపై రాజీ పడలేదని విశ్లేషణలో తేలింది.
ఫిషింగ్ బాధితురాలిగా మారిన ఉద్యోగులలో ఒకరి ఆధారాలను అడ్డగించడం వల్ల రిపోజిటరీలకు యాక్సెస్ లభించింది. దాడి చేసిన వ్యక్తులు సర్వీస్ నియమాలలో మార్పులతో ఒప్పందాన్ని నిర్ధారించాల్సిన అవసరం ఉన్న సర్కిల్సిఐ నిరంతర ఇంటిగ్రేషన్ సిస్టమ్ నుండి హెచ్చరిక ముసుగులో ఉద్యోగికి ఒక లేఖను పంపారు. ఇమెయిల్లోని లింక్ CircleCI ఇంటర్ఫేస్ను పోలి ఉండేలా నకిలీ వెబ్సైట్కి దారితీసింది. లాగిన్ పేజీ GitHub నుండి వినియోగదారు పేరు మరియు పాస్వర్డ్ను నమోదు చేయమని కోరింది, అలాగే రెండు-కారకాల ప్రమాణీకరణను పాస్ చేయడానికి వన్-టైమ్ పాస్వర్డ్ను రూపొందించడానికి హార్డ్వేర్ కీని ఉపయోగించండి.
మూలం: opennet.ru