The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев"  +/
Сообщение от opennews (??), 02-Ноя-22, 08:13 
Компания Dropbox раскрыла сведения об инциденте, в результате которого злоумышленники получили доступ к 130 приватным репозиториям, размещённым на GitHub. Утверждается, что в скомпрометированных репозиториях содержались модифицированные для нужд Dropbox ответвления от существующих открытых библиотек, некоторые внутренние прототипы, а также утилиты и файлы конфигурации, используемые командой, отвечающей за безопасность. Атака не затронула репозитории с кодом базовых приложений и ключевых элементов инфраструктуры, которые разрабатывались отдельно. Разбор показал, что атака не привела к утечке пользовательской базы и компрометации инфраструктуры...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58028

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  –2 +/
Сообщение от Аноним (1), 02-Ноя-22, 08:13 
>Утверждается, что в скомпрометированных [закрытых] репозиториях содержались модифицированные для нужд Dropbox ответвления от существующих открытых библиотек

Некрасиво как-то. Но хоть честно признались.

Ответить | Правка | Наверх | Cообщить модератору

3. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +7 +/
Сообщение от Аноним (3), 02-Ноя-22, 08:14 
честно признались когда это уже выложили в открытый доступ?)
Ответить | Правка | Наверх | Cообщить модератору

4. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от Аноним (3), 02-Ноя-22, 08:17 
*могут выложить в открытый доступ
Ответить | Правка | Наверх | Cообщить модератору

7. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +3 +/
Сообщение от Аноним (7), 02-Ноя-22, 08:39 
> Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев

fixed: сотрудники Dropbox произвели утечку ...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

10. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от Аноним (10), 02-Ноя-22, 09:56 
Уточните, они какой пункт GPL нарушили?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

12. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от Аноним (7), 02-Ноя-22, 10:23 
А сам-то как думаешь?

> Ссылка из письма вела на поддельный сайт ... На странице входа предлагалось ввести логин и пароль с GitHub

Ответить | Правка | Наверх | Cообщить модератору

14. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  –6 +/
Сообщение от Аноним (14), 02-Ноя-22, 10:25 
Тот, где говорится, что нужно предоставлять доступ к модифицированным исходникам. Я потому и не лезу в опенсурц, что это полнейший развод. Тебе говорят мол коммунизм, от каждого по способности, каждому по потребности. А на деле это тебе вечный бесплатный бета-тест кривого линуха, а им миллиарды за бесплатное использование твоих наработок в коммерческих проектах.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

15. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +1 +/
Сообщение от iPony129412 (?), 02-Ноя-22, 10:45 
А с каких это пор открытое == GPL ?
Ответить | Правка | Наверх | Cообщить модератору

16. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +3 +/
Сообщение от Аноним (16), 02-Ноя-22, 11:02 
> модифицированные для нужд Dropbox

по GPL ты можешь запросить исходники от предоставленной тебе софтины и их обязаны дать. Но если модифицированной софтины у тебя нет, то и исходники ты просить не можешь

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

21. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от Аноним (7), 02-Ноя-22, 11:26 
> софтины у тебя нет

Расшифруй термин "у меня есть софтина". Вопрос с подвохом.

Ответить | Правка | Наверх | Cообщить модератору

24. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +3 +/
Сообщение от Аноним (24), 02-Ноя-22, 11:58 
Если тебе выдали бинарник приложения, код которого опубликован под GPL, у тебя есть право запросить исходники, из которых конкретно этот бинарник был скомпилирован, а по условиям лицензии эти исходники тебе должны выдать.

Почему-то многие люди, видимо не читая текст лицензии, автоматически предполагают, что GPL=выкладывать все исходники, что далеко не так.

Если это внутренний софт, пускай даже такой, который светит публичным API наружу, и он модифицируется, исходники наружу никто выкладывать не обязан, т.к. вне компании ни у кого не должно быть исполняемых файлов, полученных законным путём.

Если бинарники были получены не очень законным путём, возможно право запросить исходники по-прежнему есть, но особо волновать это никого не будет.

Ответить | Правка | Наверх | Cообщить модератору

26. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от КО (?), 02-Ноя-22, 12:10 
Подумаешь публичная лицензия называется, нолог плоти.
Ответить | Правка | Наверх | Cообщить модератору

28. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  –1 +/
Сообщение от Аноним (7), 02-Ноя-22, 12:14 
Тебя, конечно, не спрашивали, но раз ты встрял отвечать... У тебя в самом начале затык получился: что значит "выдали бинарник". В этом и состоял вопрос, если бы ты внимательно прочитал... Попробуй подойти к вопросу с юридической стороны.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

42. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +1 +/
Сообщение от Аноним (42), 02-Ноя-22, 13:49 
мамкины юристы в треде он

как ты собрался, юридической стороны (с), требовать предоставить исходники у А если не можешь доказать, что этот "выдали бинарник" получен от А.

мамкины юристы в треде офф

Ответить | Правка | Наверх | Cообщить модератору

44. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от Иван (??), 02-Ноя-22, 14:01 
Научи нас, профи, подходить к вопросу "с юридической стороны". Приведи пример.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

49. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  –3 +/
Сообщение от Аноним (-), 02-Ноя-22, 15:34 
>Если бинарники были получены не очень законным путём, возможно право запросить исходники по-прежнему есть, но особо волновать это никого не будет.

Перестань заниматься софистикой. Если бинарник лично твой внутренний, то подотрись этим бинарником. Он никому не нужен. Если ты продаёшь, раздаёшь софт, то ты обязан указать местоположение репозитория в котором находятся исходники твоего софта. Не ну, конечно ты можешь свой авторский высер на болванках отправлять по почте, твоё дело.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

50. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от Аноним (-), 02-Ноя-22, 15:36 
И да, чуть не забыл. GPL явно обязывает прописывать рабочий рецепт зборки ПО.
Ответить | Правка | Наверх | Cообщить модератору

17. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  –3 +/
Сообщение от arisu (ok), 02-Ноя-22, 11:06 
хотя если честно — то ты не лезешь туда потому что до сих пор не можешь отладить «приветмир». уже 27 лет.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

22. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  +2 +/
Сообщение от Аноним (7), 02-Ноя-22, 11:35 
> до сих пор не можешь отладить «приветмир»

Дак вот почему венда не GPL...

Ответить | Правка | Наверх | Cообщить модератору

59. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  +1 +/
Сообщение от Аноним (59), 03-Ноя-22, 02:05 
Видимо, с таким скилами вам пора заканчивать писать посты.
Ну прямо дно какое-то.
Ничего не можете, даже за детьми.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

61. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  +/
Сообщение от arisu (ok), 03-Ноя-22, 05:01 
не отвлекайся, твой «приветмир» сам себя не отладит.
Ответить | Правка | Наверх | Cообщить модератору

39. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от Аноним (10), 02-Ноя-22, 13:21 
В gpl нет тех слов что вы тут написали и про коммунизм там тебе ничего нет.

Какое условие gpl было нарушено?

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

37. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +1 +/
Сообщение от Аноним (37), 02-Ноя-22, 13:07 
Так если они модифицированные исходники использовали только в своих сервисах и не распространяли их, и они не под AGPL, то можно.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +1 +/
Сообщение от Аноним (3), 02-Ноя-22, 08:13 
epic fail... почти
Ответить | Правка | Наверх | Cообщить модератору

5. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +1 +/
Сообщение от Аноним (5), 02-Ноя-22, 08:27 
Самое главное не выложили, `скачать исходники можно по такой то magnet ссылки`
Ответить | Правка | Наверх | Cообщить модератору

8. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от Аноним (8), 02-Ноя-22, 08:41 
посталкери в btdig по DHT может вполне себе раздают
Ответить | Правка | Наверх | Cообщить модератору

6. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +2 +/
Сообщение от iPony129412 (?), 02-Ноя-22, 08:30 
Когда-то крутым сервисом были.

Всё вокруг казалось дивным. Десять лет тому назад.

🐢 🎼

Ответить | Правка | Наверх | Cообщить модератору

9. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  +3 +/
Сообщение от arisu (ok), 02-Ноя-22, 09:56 
не забываем, что аппаратные ключи очень надёжны и защищают от подобных атак! всем немедленно перейти на… ой, как не защитили? неважно, всё равно переходите!
Ответить | Правка | Наверх | Cообщить модератору

18. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  +/
Сообщение от Хру (?), 02-Ноя-22, 11:14 
Голова тоже аппаратный ключ в некотором роде :)
Ответить | Правка | Наверх | Cообщить модератору

20. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  +2 +/
Сообщение от arisu (ok), 02-Ноя-22, 11:26 
> Голова тоже аппаратный ключ в некотором роде :)

судя по современному софту — этот ключ тоже становится редкостью.

Ответить | Правка | Наверх | Cообщить модератору

40. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  +/
Сообщение от Аноним (10), 02-Ноя-22, 13:24 
Судя по комментариям на опеннет у местных экспертов этого ключа никогда не было
Ответить | Правка | Наверх | Cообщить модератору

41. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  +1 +/
Сообщение от arisu (ok), 02-Ноя-22, 13:34 
хорошая попытка, но нет, всё ещё не продаётся.
Ответить | Правка | Наверх | Cообщить модератору

33. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  +/
Сообщение от Аноним (33), 02-Ноя-22, 12:33 
"Защищают от подобных атак" - это не про TOTP-генераторы, а про всякие yubikey и google titan, которые умеют в webauthn.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

35. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  +1 +/
Сообщение от arisu (ok), 02-Ноя-22, 12:51 
о, а вот и торговый агент пожаловал!
Ответить | Правка | Наверх | Cообщить модератору

51. "Фишинг-атака на сотрудников Dropbox привела к утечке 130..."  +/
Сообщение от Аноним (51), 02-Ноя-22, 17:29 
webauthn защищает от поддельного сайта транслирующего команды на реальный?
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

11. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +6 +/
Сообщение от YetAnotherOnanym (ok), 02-Ноя-22, 09:57 
> под видом предупреждения от системы непрерывной интеграции CircleCI
> поддельный сайт, стилизованный под интерфейс CircleCI

Вот поэтому всё должно быть своё.

Ответить | Правка | Наверх | Cообщить модератору

23. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  –1 +/
Сообщение от onanim (?), 02-Ноя-22, 11:55 
включая мозги.
когда у тебя в адресной строке домен yet-another-wordpress-blog.com и страница, "стилизованная под интерфейс CircleCI", то разработчик должен был что-то заподозрить.
Ответить | Правка | Наверх | Cообщить модератору

29. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +5 +/
Сообщение от Аноним (29), 02-Ноя-22, 12:15 
Браузеры (Гугл) сделали всё, чтобы юзер на адресную строку никогда не смотрел.
Ответить | Правка | Наверх | Cообщить модератору

54. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от YetAnotherOnanym (ok), 02-Ноя-22, 18:57 
Включая мозги, у тебя в адресной строке может быть домен сirсleсi.com (с кириллическими "с" вместо латинских "c"), на самом деле, это будет xn--cirli-2we6fc.com, но выглядеть в адресной строке он будет в точности как сirсleсi.com. Скажи спасибо IETF и ICANN.


Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

62. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от onanim (?), 03-Ноя-22, 10:06 
> Включая мозги, у тебя в адресной строке может быть домен сirсleсi.com (с
> кириллическими "с" вместо латинских "c"), на самом деле, это будет xn--cirli-2we6fc.com,
> но выглядеть в адресной строке он будет в точности как сirсleсi.com.
> Скажи спасибо IETF и ICANN.

скопировал твоё сirсleсi.com, вставил в адресную строку, нажал Enter, в адресной строке стало http://xn--irlei-0yecc.com/
ЧЯДНТ, использую браузер вместо куска вна?

Ответить | Правка | Наверх | Cообщить модератору

66. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от YetAnotherOnanym (ok), 07-Ноя-22, 09:50 
Это потому, что такого домена не существует. Если домен валидный и сайт открывается (тот же "мойгаз.смородина.онлайн", к примеру) то он в адресной строке отображается именно так, если только в настройках бразера не прописано конвертировать в латиницу (в ff это параметр network.IDN_show_punycode).
Ответить | Правка | Наверх | Cообщить модератору

63. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +1 +/
Сообщение от Аноним (63), 03-Ноя-22, 10:14 
Такое в современных браузерах уже не прокатит, а вот на изменения домена на что-то типа сirсeсi.com, сirсliсe.com, сrсleсi.com и сirсleсi.dev в большинстве случаев внимание не обратят (у психологов даже есть такой  трюк, когда в тексте вставляют кусок с поменянными местами гласными и согласными буквами, подавляющее большинство прочитавших эту подмену не замечают, если их не предупредить что в тексте есть какая-то аномалия).
Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

34. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от Аноним (34), 02-Ноя-22, 12:40 
Вот этого двачую. Имеют целый отдел девляпсов и не могут сваять скриптик для terraform, который поднимет им git и ci/cd в private cloud.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

55. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от YetAnotherOnanym (ok), 02-Ноя-22, 19:04 
Подозреваю, что вполне себе могут, или могли бы, если бы такая задача была им поставлена, но для этого нужно не только умение в скриптики, но и свои сервера, а к ним бесперебойное питание, бэкап, и всё такое, а управлять всем этим хозяйством - это уже слишком сложно для эффективных менеджеров, им проще раз в месяц платить фиксированную сумму за услуги отсосинга и не париться.
Ответить | Правка | Наверх | Cообщить модератору

65. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +/
Сообщение от Аноним (65), 03-Ноя-22, 17:15 
Зачем сервера? Что мешает сделать private vpc в aws поднять там кубер и задеплоить gitlab, jenkins etc.?
Ответить | Правка | Наверх | Cообщить модератору

27. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +1 +/
Сообщение от хрю (?), 02-Ноя-22, 12:13 
>>На странице входа предлагалось ввести логин и пароль с GitHub, а также использовать аппаратный ключ для формирования одноразового пароля для прохождения двухфакторной аутентификации.

А ключи от квартиры где деньги лежат не просили? :-)))

Ответить | Правка | Наверх | Cообщить модератору

36. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +4 +/
Сообщение от Аноним (36), 02-Ноя-22, 12:58 
Красота какая - ни buffer-overflow вам, ни use-after-free, ни тот-самый-язык...
Ответить | Правка | Наверх | Cообщить модератору

53. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +1 +/
Сообщение от darkshvein (ok), 02-Ноя-22, 18:39 
>приватным репозиториям
>размещённым на GitHub.

что то тут не так...
л - лох.

Ответить | Правка | Наверх | Cообщить модератору

57. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +1 +/
Сообщение от user90 (?), 02-Ноя-22, 21:05 
Дык уровень нынешнего среднестатистического ойтишника..
Ответить | Правка | Наверх | Cообщить модератору

64. "Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."  +1 +/
Сообщение от Аноним (64), 03-Ноя-22, 14:43 
>утилиты и файлы конфигурации, используемые командой, отвечающей за безопасность

Бывшей командой бггг

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру