Dropbox 揭露了一起事件的細節,該事件導致攻擊者取得了 GitHub 上託管的 130 個私人儲存庫的存取權限。據稱,受損的儲存庫包含根據 Dropbox 需求修改的現有開源庫的分支、一些內部原型以及安全團隊使用的實用程式和設定檔。此攻擊並未影響包含單獨開發的核心應用程式和關鍵基礎設施元素程式碼的儲存庫。分析表明,此次攻擊並未導致用戶群洩漏或基礎設施受損。
透過攔截一名網路釣魚受害者的憑證,獲得了對儲存庫的存取權限。攻擊者向一名員工發送了一封偽裝成 CircleCI 持續整合系統警告的信件,要求他們確認同意服務條款的變更。電子郵件中的連結指向一個看起來像 CircleCI 介面的虛假網站。登入頁面要求輸入來自 GitHub 的使用者名稱和密碼,並使用硬體金鑰產生雙重認證的一次性密碼。
來源: opennet.ru
