聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该文件托管巨头表示,10月14日,GitHub 向其发出警报,从而发现该泄露事件。几周前,GitHub 提醒称,其某些用户遭假冒持续集成和持续交付平台 CirecleCI的钓鱼攻击,凭据和双因素认证代码遭窃取。
Dropbox也遭受类似攻击。黑客向多个员工发送钓鱼邮件,将员工定向到虚假的CircleCI网站,从而窃取了员工的凭据和多因素认证一次性密码。这起攻击获得成功,黑客设法访问了Dropbox 的一个GitHub 组织机构,从而复制了130个代码仓库。
Dropbox 公司提到,“这些仓库中包括我们稍作修改后使用的第三方库副本、内部原型和安全团队使用的一些工具和配置文件。不过很重要的一点是,其中并不包括核心应用或基础设施的代码。访问这些仓库的限制更大且控制更严格。”
Dropbox公司表示,虽然攻击者并未获得对Dropbox 账户的访问权限、用户密码或支付信息,但遭暴露的源代码中确实包含开发人员使用的某些凭据。另外,被暴露的文件中还包括Dropbox 员工、之前和当前客户、厂商和销售主管的“数千个”姓名和邮件地址。
Dropbox 公司表示,黑客钓鱼员工硬件认证密钥生成的一次性密码。一般而言,硬件认证密钥更安全,但该公司承认自己所使用的并非最好,目前正在采用更能防御钓鱼的MFA,即将WebAuthn 与硬件令牌或生物特征因素相结合的密钥。
针对大型企业的勒索攻击并不少见。就在几个月前,Twilio 和 Cloudflare 公司的员工遭钓鱼攻击,而这起攻击攻陷了130多家组织机构。
https://www.securityweek.com/hackers-stole-source-code-personal-data-dropbox-following-phishing-attack
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Dropbox公司的源代码和个人信息被盗
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论