出品 | OSC开源社区(ID、oschina2013)、存储平台 Dropbox 最近公开了他们遭遇的严重安全事軶黑客通过网络钓鱼的方式获得多 GitHub 跣户的访问权,导致 130 个私有的代码仓库被微ヅ据 Dropbox 称,这些次密包括为了公司内部使用而略加修改的第三方库的鋅本、内部原型以及他们的安全团队使用的一些工具和配置文件。幸运的是,Dropbox 的核心应用羮幯或基础设施的代码没有受到该事件的影响,仓库也不包括他们用户的 Dropbox 账户、密码或支付微息等廑容。虽然 Dropbox 近日才公布这一消息,但此次安全事件实际上早在 10 月 14 日就发生了,而且此次亏仑并不是由 Dropbox 首先发现,而是 GitHub 注濛制前一天开始 Dropbox 存在可疑的账户行为而向后者发出了提釅黑在后续的调查中,Dropbox 发现有黑客正在冒充 CircleCI 璄 Dropbox 瑘工术逌鸍汼邮仠,CircleCI 昍仮及 Dropbox 员工都在使用的代码集成和交付平台(邮件截图如下)。在钓鱼俫怰中掌黡客要求 Dropbox 的员工通过 CircleCI 登录他们的 GitHub 账户,并接受新的使用条款和隐私政策以继续使用该服务。如果他们点击信息上的链接,将会跳转到一个要求输入 GitHub 用户名和密码的网竑,之后这些登录信息将会发送给黑客。虽然这看起来就是一起十分常规的钓鱼邮件,里面也没有用到什么特别的尖端技巧,对于受影响的开发者来说,他们理应也能注意到钓鱼邮件指向的网址和官方网站的差别,但这次网络钓鱼还就是成功了。Dropbox 目前已经通过内部审查和聘请外部专家共同研究方案来应对攻击,Dropbox 也向监管机构和执法部门报告了此次事件。Dropbox 还计划将身份验证切换到 WebAuthn 登录标准,通过硬件令牌或生物特侁因素加强保护。技愯朋接:https://dropbox.tech/security/a-recent-phishing-campaign-targeting-dropbox【OSCHINA 2022 中国开源开发者问卷】来啦问卷结尾还微滑取我们的周边好物哦~
还没有评论,来说两句吧...