Dropbox 遭网络钓鱼,130 个 GitHub 仓库被盗


云存储平台 Dropbox 最近公开了他们遭遇的严重安全事件,黑客通过网络钓鱼的方式获得其 GitHub 账户的访问权,导致 130 个私有的代码仓库被盗。

据 Dropbox 称,这些仓库包括为了公司内部使用而略加修改的第三方库的副本、内部原型以及他们的安全团队使用的一些工具和配置文件。幸运的是,Dropbox 的核心应用程序或基础设施的代码没有受到该事件的影响,仓库也不包括他们用户的 Dropbox 账户、密码或支付信息等内容。

虽然 Dropbox 近日才公布这一消息,但此次安全事件实际上早在 10 月 14 日就发生了,而且此次事件并不是由 Dropbox 首先发现,而是 GitHub 注意到前一天开始 Dropbox 存在可疑的账户行为而向后者发出了提醒。在后续的调查中,Dropbox 发现有黑客正在冒充 CircleCI 向 Dropbox 员工发送钓鱼邮件,CircleCI 是不少 Dropbox 员工都在使用的代码集成和交付平台(邮件截图如下)。

在钓鱼信息中,黑客要求 Dropbox 的员工通过 CircleCI 登录他们的 GitHub 账户,并接受新的使用条款和隐私政策以继续使用该服务。如果他们点击信息上的链接,将会跳转到一个要求输入 GitHub 用户名和密码的网站,之后这些登录信息将会发送给黑客。

虽然这看起来就是一起十分常规的钓鱼邮件,里面也没有用到什么特别的尖端技巧,对于受影响的开发者来说,他们理应也能注意到钓鱼邮件指向的网址和官方网站的差别,但这次网络钓鱼还就是成功了。

Dropbox 目前已经通过内部审查和聘请外部专家共同研究方案来应对攻击,Dropbox 也向监管机构和执法部门报告了此次事件。Dropbox 还计划将身份验证切换到 WebAuthn 登录标准,通过硬件令牌或生物特征因素加强保护。

 


相關推薦

2022-08-27

已经加强并部署了额外的安全措施,还聘请了一家领先的网络安全和取证公司。在公告中 LastPass 并没有提供这次攻击的更多细节,例如黑客是如何获取开发者账户的,以及具体有哪些源代码和专有技术信息被盗。 LastPass 完整安

2023-10-09

look中的安全工具发出的扫描警报。这是首次记录到ZeroFont网络钓鱼技术以这种方式的使用。【针对 Microsoft 365 的钓鱼即服务平台 Greatness - FreeBuf网络安全行业门户】 3. 谷歌为攻击中利用的libwebp漏洞分配了新的最高CVE编号 谷歌已

2023-01-07

非常正常的一件事情。在 2015 年,Slack 受到了连续多日的网络攻击,当时黑客闯入其用户资料数据库,获取了不少用户信息。在 2020 年中期,该公司遭受了一次数据泄露,迫使它为成千上万的用户重置密码。  

2022-08-06

并做好了推出的准备。但碍于这两天在 Twitter 和 Reddit 等网络平台上面临的讨论和压力,迫使 GitLab 重新进行了反思。 GitLab 的联合创始人兼首席执行官 Sid Sijbrandij 在官方社交账号下也回复道,放入对象存储中的项目仍然对所

2023-03-01

,Plex 也证实它遭到了黑客攻击,导致 1500 万用户的密码被盗。 事件发生后,LastPass 采取了一些措施,以防止未来的攻击,同时在 LastPass 的系统中加入了新的多重身份认证,并撤销了由黑客获得的证书。 如果你是 LastPass 的用

2023-03-12

风险的浏览器扩展 影子 SaaS 用 AiTM 攻击绕过 MFA 以网络钓鱼为例,为了减轻网络钓鱼的风险,许多安全供应商通过确定 URL 的安全级别来过滤网站。这种网站安全检查是基于域名的信誉,它是由不同的指标计算出来的,如 UR

2021-12-23

导,这周早些时候,比利时国防部承认他们遭受了严重的网络攻击,该攻击基于此前我们报导的 Apache Log4j 相关漏洞。强烈的网络攻击导致比利时国防部的一些活动瘫痪,如邮件系统就已经停机了好几天。 比利时相关发言人

2022-01-05

API)。该 API 此前因为不能在 iframes 内使用,所以不能被网络应用所调用。诸如网页版微软 Office 之类需要用户大量输入内容的网络应用在此之前是不能利用该 API 来检测键盘布局上的按键。 键盘布局会因国家/地区,以及主要

2022-04-18

GitHub 首席安全官 Mike Hanley 透露,攻击者正在使用被盗的 OAuth 用户令牌从私有存储库中下载数据。 有证据表明,攻击者滥用被盗的 OAuth 用户令牌发给两个第三方 OAuth 集成商 Heroku 和 Travis-CI,然后从包括 npm 在内的数十个组织

2022-11-30

(33%) 能源 (33%) 银行和金融服务 另一方面,2023 年的网络安全问题也依旧是各方关注的重点。数据表明,2022 年上半年,全球共发生 28 亿次恶意软件攻击和 2.361 亿次勒索软件攻击。截至 2022 年底,预计将发起 60 亿次网络钓

2023-01-27

司的一名员工进行社会工程攻击,然后获得了对 Riot Game 网络的访问权限,并声称他们可以在 36 小时内持续访问 Riot 公司的开发网络,直到他们被公司的安全运营中心 (SOC) 检测到。他们还告诉 VX ,其真正的目标是窃取 Riot 公司

2022-09-29

了性能,优化与上游 CPython 的兼容性。 Pyston 最初是由 Dropbox 开发的开源 Python 实现,并与 Python 高度兼容。Dropbox 几年前就已停止支持开发 Pyston,不过其开发团队一直在进行维护,并于去年加入了 Anaconda——继续他们对高性

2023-08-20

览器审查网站。 据悉,法国政府正在制定一项旨在打击网络欺诈的 SREN 法案 (“Projet de loi Visant à sécuriser et reguler l'espace numérique”),包含大约 20 项提案。其中导致此次争议的是法案的第 6 条内容,即,计划要求网络浏览器开

2023-04-11

生后,微星则是在官网发布了一个简短声明,证实遭到了网络攻击: MSI 的部分信息系统最近遭受了网络攻击。 信息部门发现网络异常后,及时启动相关防御机制并采取恢复措施,并将事件报告政府执法部门和网络安全部门