知晓Dropbox遭遇钓鱼攻击，GitHub库可被非授权访问2023/3/4 20:27:41

123456790 · 发表于 2023-3-4 20:27:44

D遭遇钓鱼攻击，0个GH库可被非授权访问。不仅在数据方面表现良好，服务器在市场份额上也是逐步拓进，让更多的人受益。https://www.l7y.cn/

D是一款免费络文件同步工具，是D运行的在线存储服务，通过云计算现因特上的文件同步，用户可以存储并共享文件和文件夹。截止年8月，D有37万付费用户和7亿注册用户。

月1日，D发文称其成为钓鱼攻击的受害者，攻击者获取了其0个GH源代码库的访问权限。早在9月，GH和CCI就发布警告称，有攻击者通过虚假通知邮件来窃取GH凭证。

事件分析

D使用GH保存一些公共库和私有库。也使用CCI来选择一些内部部署。月初，多个D员工收到了伪装成CCI的钓鱼邮件，钓鱼邮件的目的是获取其GH账号。钓鱼邮件将访问钓鱼的连接重定向到一个伪造的CCI登录页面，受害者输入GH用户和密码后，使用硬件认证码来传递一次性口令给恶意站点。

月日，GH向D发出警告称，自日起其官方账号存在可以行为。经过调查，D研究人员发现有攻击者成功访问了D的GH账户，有0个GH库可被非授权访问，其中包含经过修改用于D的第方库的副本、内部原型系统、安全团队使用的工具和配置文件等。攻击者成功访问了D开发者使用的API、属于D员工、当前和之前客户、厂商的上千个姓和邮箱地址。

D称，GH库中不含与其他核心APP或基础设施相关的源码。且攻击者并未访问任何用户的D账号、密码、以及支付信息。

		自动登录	找回密码
密码			立即注册

知晓Dropbox遭遇钓鱼攻击，GitHub库可被非授权访问2023/3/4 20:27:41

浏览过的版块