Home-theater-designers
أعلنت شركة Dropbox عن سرقة 130 مستودعاً من مستودعات GitHub عن طريق خرق البيانات. حدث الاختراق نتيجة لهجوم تصيد احتيالي ناجح.
يكشف Dropbox عن خرق أمني
تم الإعلان عن تعرض Dropbox ، النظام الأساسي الشهير لمشاركة الملفات والتعاون ، لخرق في البيانات. في هذا الاختراق ، سرق ممثل تهديد 130 مستودعاً خاصاً من مستودعات (أو أرشيفات) كود GitHub عبر هجوم تصيد احتيالي.
اجعل فيديو اليوم
في Dropbox.Tech آخر ، ذكر فريق أمان الشركة أن هذه المستودعات المسروقة تضمنت 'بعض بيانات الاعتماد - بشكل أساسي مفاتيح واجهة برمجة التطبيقات - التي يستخدمها مطورو Dropbox'. كما أشار الفريق إلى أن 'الكود والبيانات حوله متضمنة أيضًا بضعة آلاف من الأسماء وعناوين البريد الإلكتروني الخاصة بموظفي Dropbox والعملاء الحاليين والسابقين وعملاء المبيعات المحتملين والموردين. '
كيف تصنع ميمي على الايفون
منذ ذلك الحين ، قام Dropbox بتعطيل وصول الجهة الناشطة للتهديد إلى GitHub (استضافة ومشاركة وتطوير نظام أساسي للرموز) ، حيث يعمل فريقها بسرعة لمعرفة ما إذا كانت أي بيانات عميل قد سُرقت وتحديد 'تناوب جميع بيانات اعتماد المطورين المكشوفة'.
انتحل ممثل التهديد صفة هيئة رسمية
في هذا Dropbox هجوم التصيد ، انتحل ممثل التهديد صفة أحد أعضاء طاقم CirclCI. يستخدم Dropbox نظام CirclCI ، وهو نظام أساسي للتكامل والتسليم ، لبعض عمليات النشر الداخلية الخاصة به. بدءًا من أكتوبر ، بدأ مستخدمو Dropbox في تلقي رسائل البريد الإلكتروني من مرسلين يدعون أنهم من CirclCI. هذا أمر شائع في هجمات التصيد الاحتيالي.
يمكن أيضًا استخدام بيانات اعتماد GitHub لموظف Dropbox للوصول إلى حساب CircleCI الخاص بهم ، وهذا هو السبب في انتحال ممثل التهديد صفة CircleCI في هذه الحالة. تمكنت Dropbox من التقاط بعض رسائل البريد الإلكتروني المخادعة قبل وصولها إلى الموظفين ، ولكن ليس كلهم.
كيفية عمل اختصار على iphone
عندما تلقى الفرد المستهدف البريد الإلكتروني ، تم تزويده برابط إلى ملف موقع ضار مصمم لسرقة بيانات اعتماد GitHub ومفتاح مصادقة الأجهزة. تم تصميم مواقع الويب هذه لتبدو متطابقة تقريبًا مع صفحات تسجيل الدخول الرسمية.
باستخدام هذه المعلومات ، تمكن المهاجم من الوصول إلى حساب GitHub وسرقة المستودعات. من غير المعروف عدد موظفي Dropbox الذين وقعوا ضحية لحملة التصيد الاحتيالي هذه.
لم يتم سرقة محتوى حساب Dropbox
في المنشور المذكور أعلاه ، أكد Dropbox للمستخدمين أنه لم تتم سرقة أي نوع من بيانات العملاء ، مثل كلمات المرور أو تفاصيل الدفع في الهجوم. علاوة على ذلك ، ذكر Dropbox أن المهاجم لم يسرق أي رمز لتطبيقاته الأساسية وبنيته التحتية.
هل أحتاج إلى إكس بوكس لايف لألعب Fortnite
نتيجة لهذا الاختراق ، أعلنت Dropbox أن نظامها الأساسي بالكامل سيتم 'تأمينه قريبًا بواسطة WebAuthn باستخدام الرموز المميزة للأجهزة أو العوامل البيومترية'.
يمكن لهجمات التصيد الاحتيالي خداع حتى الأفراد ذوي الخبرة
أصبحت هجمات التصيد الاحتيالي أكثر تعقيدًا مع مرور السنين ، لدرجة أنه من الصعب الآن اكتشاف بريد إلكتروني أو موقع ويب ضار. ومع ذلك ، لا يزال من الضروري استخدام تدابير أمنية مناسبة ، مثل برامج مكافحة الفيروسات وعوامل تصفية البريد العشوائي ، لحماية نفسك من عمليات التصيد الاحتيالي قدر الإمكان.