ڈراپ باکس نے ایک واقعے کی تفصیلات کا انکشاف کیا جس میں حملہ آوروں نے GitHub پر میزبان 130 نجی ذخیروں تک رسائی حاصل کی۔ سمجھوتہ شدہ ریپوزٹریوں میں مبینہ طور پر موجودہ اوپن سورس لائبریریوں کے کانٹے شامل تھے جو ڈراپ باکس کی ضروریات کے لیے تبدیل کیے گئے تھے، کچھ اندرونی پروٹو ٹائپس کے ساتھ ساتھ سیکیورٹی ٹیم کے ذریعے استعمال کردہ یوٹیلیٹیز اور کنفیگریشن فائلز۔ اس حملے نے بنیادی ایپلی کیشنز اور کلیدی بنیادی ڈھانچے کے عناصر کے کوڈ پر مشتمل ذخیروں کو متاثر نہیں کیا، جو الگ سے تیار کیے گئے تھے۔ تجزیہ سے پتہ چلتا ہے کہ حملے کے نتیجے میں صارف کی بنیاد لیک یا بنیادی ڈھانچے میں سمجھوتہ نہیں ہوا۔
ریپوزٹریز تک رسائی ایک ایسے ملازم کی اسناد کو روک کر حاصل کی گئی تھی جو ایک فریب دہی کا شکار ہو گیا تھا۔ حملہ آوروں نے ملازم کو ایک ای میل بھیجا جس میں CircleCI مسلسل انضمام کے نظام سے ایک انتباہ تھا، جس میں سروس کی شرائط میں تبدیلی کے لیے رضامندی کا مطالبہ کیا گیا تھا۔ ای میل میں لنک ایک جعلی ویب سائٹ کی طرف لے گیا جس کا انداز CircleCI انٹرفیس سے ملتا جلتا تھا۔ لاگ ان پیج نے صارف کو اپنا GitHub صارف نام اور پاس ورڈ درج کرنے کے ساتھ ساتھ دو عنصر کی توثیق کے لیے ایک وقتی پاس ورڈ بنانے کے لیے ایک ہارڈویئر کلید کا استعمال کرنے کا اشارہ کیا۔
ماخذ: opennet.ru
