Ang Dropbox ay nagbunyag ng impormasyon tungkol sa isang insidente kung saan ang mga umaatake ay nakakuha ng access sa 130 pribadong repository na naka-host sa GitHub. Sinasabing ang mga nakompromisong repository ay naglalaman ng mga tinidor mula sa mga kasalukuyang open source na aklatan na binago para sa mga pangangailangan ng Dropbox, ilang mga panloob na prototype, pati na rin ang mga utility at configuration file na ginagamit ng security team. Hindi naapektuhan ng pag-atake ang mga repositoryo na may code para sa mga pangunahing application at pangunahing elemento ng imprastraktura, na binuo nang hiwalay. Ipinakita ng pagsusuri na ang pag-atake ay hindi humantong sa pagtagas ng base ng gumagamit o kompromiso ng imprastraktura.
Nakuha ang access sa mga repository bilang resulta ng pagharang sa mga kredensyal ng isa sa mga empleyadong naging biktima ng phishing. Ang mga umaatake ay nagpadala sa empleyado ng isang sulat sa ilalim ng pagkukunwari ng isang babala mula sa sistema ng patuloy na pagsasama ng CircleCI na may kinakailangan upang kumpirmahin ang kasunduan sa mga pagbabago sa mga patakaran ng serbisyo. Ang link sa email ay humantong sa isang pekeng website na naka-istilo upang maging katulad ng interface ng CircleCI. Ang pahina ng pag-login ay hiniling na magpasok ng isang username at password mula sa GitHub, pati na rin gumamit ng isang hardware key upang makabuo ng isang beses na password upang pumasa sa dalawang-factor na pagpapatunay.
Pinagmulan: opennet.ru