跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

Dropbox遭受钓鱼攻击 GitHub库可未经授权访问


CHQ1d

推荐的帖子

Dropbox被钓鱼攻击,130个GitHub库未经授权即可访问。

Dropbox是一款免费的在线文件同步工具,是由Dropbox运营的在线存储服务。通过云计算,互联网上的文件是同步的,用户可以存储和共享文件和文件夹。截至2022年8月,Dropbox拥有1737万付费用户,7亿注册用户。

11月1日,Dropbox发布消息称,它是一次钓鱼攻击的受害者,攻击者获得了其130个GitHub源代码库的访问权限。早在9月份,GitHub和CircleCI就发出警告,称有攻击者通过虚假通知邮件窃取了GitHub凭据。

事件分析

Dropbox使用GitHub来保存一些公共库和私有库。CircleCI还用于选择一些内部部署。10月初,几名Dropbox员工收到伪装成CircleCI的钓鱼邮件,钓鱼邮件的目的是获取他们的GitHub账户。该电子邮件将网络钓鱼连接重定向到一个虚假的CircleCI登录页面。受害者输入GitHub用户名和密码后,利用硬件认证码将一次性密码传递给恶意站点。

10月14日,GitHub向Dropbox发出警告,称其官方账号从13日开始活跃。Dropbox研究人员经过调查发现,攻击者成功访问了Dropbox的GitHub账户,130个GitHub库可以在未经授权的情况下被访问,包括为Dropbox修改的第三方库的副本、内部原型系统、安全团队使用的工具和配置文件等。攻击者成功访问了Dropbox开发人员使用的API密钥,属于Dropbox员工、当前和以前的客户和制造商的数千个姓名和电子邮件地址。

根据Dropbox的说法,GitHub库不包含与其他核心应用程序或基础设施相关的源代码。并且攻击者没有访问任何用户的Dropbox账户、密码和支付信息。

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...