原副标题:Dropbox遭互联网钓,130个GitHub库房失窃
公司出品 | OSC开放源码街道社区(ID:oschina2013)
云储存网络平台 Dropbox 前段时间申明了她们遭受的轻微恶性该事件,骇客透过互联网钓的方式获得其 GitHub 帐户的出访权,导致 130 个专有的标识符库房失窃。
据 Dropbox 称,那些库房主要包括为了公司外部采用而绒兰的服务项目器端库的复本、外部蓝本以及她们的安全可靠项目组采用的一些辅助工具和配置文件。幸运地的是,Dropbox 的核心理念插件或基础建设的标识符没受到该该事件的负面影响,库房也不主要包括她们使用者的 Dropbox 帐户、公钥或缴付重要信息等内容。
尽管 Dropbox 日前才公布这一消息,但本次恶性该事件事实上早在 10 月 14 日就发生了,而且本次该事件并不是由 Dropbox 具体来说辨认出,而要 GitHub 注意到前一晚开始 Dropbox 存在形迹可疑的帐户犯罪行为而向前者收到了告诫。在先期的进行调查中,Dropbox 辨认出有骇客正在伪装成 CircleCI 向 Dropbox 雇员推送钓电子邮件,CircleCI 是不少 Dropbox 雇员都在采用的标识符软件系统和交货网络平台(电子邮件截屏如下表所示)。
在钓重要信息中,骇客明确要求 Dropbox 的雇员透过 CircleCI 登入她们的 GitHub 帐户,并拒绝接受捷伊采用条文和个人隐私政策以继续采用该服务项目。如果她们点选重要信息上的镜像,Sonbhadra重定向到一个明确要求输出 GitHub 帐号和公钥的中文网站,之后那些登入重要信息Sonbhadra推送到骇客。
尽管这看上去是一起十分常规性的钓电子邮件,里头也没加进什么特别的前端基本功,对于受负面影响的开发人员来说,她们本该也能注意到钓电子邮件对准的邮箱和官网的差别,但此次互联网钓还是获得成功了。
Dropbox 目前已经透过外部审查和聘请外部专家共同研究方案来应对攻击,Dropbox 也向监管机构和执法部门报告了本次该事件。Dropbox 还计划将身份验证切换到 WebAuthn 登入标准,透过硬件令牌或生物特征因素加强保护。
相关镜像: https://dropbox.tech/security/a-recent-phishing-campaign-targeting-dropbox
【OSCHINA 2022 中国开放源码开发人员问卷】 来啦
你的反馈将有助于反映中国开放源码的全貌
问卷结尾还可抽取我们的周边好物哦~
期待来自你的反馈!
END
开发人员必备的Firefox插件
这里有最新开放源码资讯、软件更新、技术干货等内容
点这里 ↓↓↓ 记得 关注✔ 标星⭐ 哦~
