Référentiels De Code Source Github

Le service d’hébergement de fichiers Dropbox a révélé mardi avoir été victime d’une campagne de phishing qui a permis à des acteurs malveillants non identifiés d’accéder sans autorisation à 130 de ses référentiels de code source sur GitHub.

« Ces référentiels comprenaient nos propres copies de bibliothèques tierces légèrement modifiées pour être utilisées par Dropbox, des prototypes internes et certains outils et fichiers de configuration utilisés par l’équipe de sécurité », a déclaré la société. révélé dans un avis.

La violation a entraîné l’accès à certaines clés API utilisées par les développeurs de Dropbox ainsi qu’à « quelques milliers de noms et d’adresses e-mail appartenant aux employés de Dropbox, aux clients actuels et passés, aux prospects et aux fournisseurs ».

Il a cependant souligné que les référentiels ne contenaient pas de code source lié à ses applications ou infrastructure principales.

Dropbox, qui propose des services de stockage dans le cloud, de sauvegarde de données et de signature de documents, entre autres, compte plus de 17,37 millions d’utilisateurs payants et 700 millions d’utilisateurs enregistrés au Août 2022.

Publicité

La divulgation intervient plus d’un mois après que GitHub et CircleCI ont mis en garde contre des attaques de phishing conçues pour voler les informations d’identification de GitHub via de fausses notifications prétendant provenir de la plate-forme CI/CD.

La société basée à San Francisco a noté que « plusieurs Dropboxers ont reçu des e-mails de phishing se faisant passer pour CircleCI » début octobre, dont certains ont échappé à ses filtres anti-spam automatisés pour atterrir dans les boîtes de réception des employés.

« Ces e-mails d’apparence légitime invitaient les employés à visiter une fausse page de connexion CircleCI, à saisir leur nom d’utilisateur et leur mot de passe GitHub, puis à utiliser leur clé d’authentification matérielle pour transmettre un mot de passe à usage unique (OTP) au site malveillant », a expliqué Dropbox.

La Cyber-Sécurité

La société n’a pas révélé le nombre de ses employés tombés dans le piège de l’attaque de phishing, mais a déclaré qu’elle avait pris des mesures rapides pour faire pivoter toutes les informations d’identification de développeur exposées et qu’elle avait alerté les autorités chargées de l’application de la loi.

Il a également déclaré n’avoir trouvé aucune preuve que des données client aient été volées à la suite de l’incident, ajoutant qu’il mettait à niveau ses systèmes d’authentification à deux facteurs pour prendre en charge clés de sécurité matérielles pour la résistance au phishing.

« Des professionnels vigilants peuvent être la proie d’un message soigneusement conçu, livré de la bonne manière au bon moment », a conclu la société. « C’est précisément pourquoi le phishing reste si efficace. »


Rate this post
Publicité
Article précédentComment surveiller les performances du système Linux avec l’outil Nmon
Article suivantWarner Bros. désireux de produire « Man of Steel 2 » avec Henry Cavill
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici