URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 128823
[ Назад ]
Исходное сообщение
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев"
Отправлено opennews , 02-Ноя-22 08:13 
Компания Dropbox раскрыла сведения об инциденте, в результате которого злоумышленники получили доступ к 130 приватным репозиториям, размещённым на GitHub. Утверждается, что в скомпрометированных репозиториях содержались модифицированные для нужд Dropbox ответвления от существующих открытых библиотек, некоторые внутренние прототипы, а также утилиты и файлы конфигурации, используемые командой, отвечающей за безопасность. Атака не затронула репозитории с кодом базовых приложений и ключевых элементов инфраструктуры, которые разрабатывались отдельно. Разбор показал, что атака не привела к утечке пользовательской базы и компрометации инфраструктуры...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58028

Содержание
Сообщения в этом обсуждении
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 08:13 
>Утверждается, что в скомпрометированных [закрытых] репозиториях содержались модифицированные для нужд Dropbox ответвления от существующих открытых библиотек

Некрасиво как-то. Но хоть честно признались.

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 08:14 
честно признались когда это уже выложили в открытый доступ?)
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 08:17 
*могут выложить в открытый доступ
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 08:39 
> Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев

fixed: сотрудники Dropbox произвели утечку ...

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 09:56 
Уточните, они какой пункт GPL нарушили?
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 10:23 
А сам-то как думаешь?

> Ссылка из письма вела на поддельный сайт ... На странице входа предлагалось ввести логин и пароль с GitHub

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 10:25 
Тот, где говорится, что нужно предоставлять доступ к модифицированным исходникам. Я потому и не лезу в опенсурц, что это полнейший развод. Тебе говорят мол коммунизм, от каждого по способности, каждому по потребности. А на деле это тебе вечный бесплатный бета-тест кривого линуха, а им миллиарды за бесплатное использование твоих наработок в коммерческих проектах.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено iPony129412 , 02-Ноя-22 10:45 
А с каких это пор открытое == GPL ?
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 11:02 
> модифицированные для нужд Dropbox

по GPL ты можешь запросить исходники от предоставленной тебе софтины и их обязаны дать. Но если модифицированной софтины у тебя нет, то и исходники ты просить не можешь

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 11:26 
> софтины у тебя нет

Расшифруй термин "у меня есть софтина". Вопрос с подвохом.

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 11:58 
Если тебе выдали бинарник приложения, код которого опубликован под GPL, у тебя есть право запросить исходники, из которых конкретно этот бинарник был скомпилирован, а по условиям лицензии эти исходники тебе должны выдать.

Почему-то многие люди, видимо не читая текст лицензии, автоматически предполагают, что GPL=выкладывать все исходники, что далеко не так.

Если это внутренний софт, пускай даже такой, который светит публичным API наружу, и он модифицируется, исходники наружу никто выкладывать не обязан, т.к. вне компании ни у кого не должно быть исполняемых файлов, полученных законным путём.

Если бинарники были получены не очень законным путём, возможно право запросить исходники по-прежнему есть, но особо волновать это никого не будет.

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено КО , 02-Ноя-22 12:10 
Подумаешь публичная лицензия называется, нолог плоти.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 12:14 
Тебя, конечно, не спрашивали, но раз ты встрял отвечать... У тебя в самом начале затык получился: что значит "выдали бинарник". В этом и состоял вопрос, если бы ты внимательно прочитал... Попробуй подойти к вопросу с юридической стороны.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 13:49 
мамкины юристы в треде он

как ты собрался, юридической стороны (с), требовать предоставить исходники у А если не можешь доказать, что этот "выдали бинарник" получен от А.

мамкины юристы в треде офф

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Иван , 02-Ноя-22 14:01 
Научи нас, профи, подходить к вопросу "с юридической стороны". Приведи пример.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 15:34 
>Если бинарники были получены не очень законным путём, возможно право запросить исходники по-прежнему есть, но особо волновать это никого не будет.

Перестань заниматься софистикой. Если бинарник лично твой внутренний, то подотрись этим бинарником. Он никому не нужен. Если ты продаёшь, раздаёшь софт, то ты обязан указать местоположение репозитория в котором находятся исходники твоего софта. Не ну, конечно ты можешь свой авторский высер на болванках отправлять по почте, твоё дело.

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 15:36 
И да, чуть не забыл. GPL явно обязывает прописывать рабочий рецепт зборки ПО.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено arisu , 02-Ноя-22 11:06 
хотя если честно — то ты не лезешь туда потому что до сих пор не можешь отладить «приветмир». уже 27 лет.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено Аноним , 02-Ноя-22 11:35 
> до сих пор не можешь отладить «приветмир»

Дак вот почему венда не GPL...

"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено Аноним , 03-Ноя-22 02:05 
Видимо, с таким скилами вам пора заканчивать писать посты.
Ну прямо дно какое-то.
Ничего не можете, даже за детьми.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено arisu , 03-Ноя-22 05:01 
не отвлекайся, твой «приветмир» сам себя не отладит.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 13:21 
В gpl нет тех слов что вы тут написали и про коммунизм там тебе ничего нет.

Какое условие gpl было нарушено?

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 13:07 
Так если они модифицированные исходники использовали только в своих сервисах и не распространяли их, и они не под AGPL, то можно.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 08:13 
epic fail... почти
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 08:27 
Самое главное не выложили, `скачать исходники можно по такой то magnet ссылки`
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 08:41 
посталкери в btdig по DHT может вполне себе раздают
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено iPony129412 , 02-Ноя-22 08:30 
Когда-то крутым сервисом были.

Всё вокруг казалось дивным. Десять лет тому назад.

🐢 🎼

"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено arisu , 02-Ноя-22 09:56 
не забываем, что аппаратные ключи очень надёжны и защищают от подобных атак! всем немедленно перейти на… ой, как не защитили? неважно, всё равно переходите!
"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено Хру , 02-Ноя-22 11:14 
Голова тоже аппаратный ключ в некотором роде :)
"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено arisu , 02-Ноя-22 11:26 
> Голова тоже аппаратный ключ в некотором роде :)

судя по современному софту — этот ключ тоже становится редкостью.

"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено Аноним , 02-Ноя-22 13:24 
Судя по комментариям на опеннет у местных экспертов этого ключа никогда не было
"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено arisu , 02-Ноя-22 13:34 
хорошая попытка, но нет, всё ещё не продаётся.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено Аноним , 02-Ноя-22 12:33 
"Защищают от подобных атак" - это не про TOTP-генераторы, а про всякие yubikey и google titan, которые умеют в webauthn.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено arisu , 02-Ноя-22 12:51 
о, а вот и торговый агент пожаловал!
"Фишинг-атака на сотрудников Dropbox привела к утечке 130..."
Отправлено Аноним , 02-Ноя-22 17:29 
webauthn защищает от поддельного сайта транслирующего команды на реальный?
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено YetAnotherOnanym , 02-Ноя-22 09:57 
> под видом предупреждения от системы непрерывной интеграции CircleCI
> поддельный сайт, стилизованный под интерфейс CircleCI

Вот поэтому всё должно быть своё.

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено onanim , 02-Ноя-22 11:55 
включая мозги.
когда у тебя в адресной строке домен yet-another-wordpress-blog.com и страница, "стилизованная под интерфейс CircleCI", то разработчик должен был что-то заподозрить.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 12:15 
Браузеры (Гугл) сделали всё, чтобы юзер на адресную строку никогда не смотрел.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено YetAnotherOnanym , 02-Ноя-22 18:57 
Включая мозги, у тебя в адресной строке может быть домен сirсleсi.com (с кириллическими "с" вместо латинских "c"), на самом деле, это будет xn--cirli-2we6fc.com, но выглядеть в адресной строке он будет в точности как сirсleсi.com. Скажи спасибо IETF и ICANN.


"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено onanim , 03-Ноя-22 10:06 
> Включая мозги, у тебя в адресной строке может быть домен сirсleсi.com (с
> кириллическими "с" вместо латинских "c"), на самом деле, это будет xn--cirli-2we6fc.com,
> но выглядеть в адресной строке он будет в точности как сirсleсi.com.
> Скажи спасибо IETF и ICANN.

скопировал твоё сirсleсi.com, вставил в адресную строку, нажал Enter, в адресной строке стало http://xn--irlei-0yecc.com/
ЧЯДНТ, использую браузер вместо куска вна?

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено YetAnotherOnanym , 07-Ноя-22 09:50 
Это потому, что такого домена не существует. Если домен валидный и сайт открывается (тот же "мойгаз.смородина.онлайн", к примеру) то он в адресной строке отображается именно так, если только в настройках бразера не прописано конвертировать в латиницу (в ff это параметр network.IDN_show_punycode).
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 03-Ноя-22 10:14 
Такое в современных браузерах уже не прокатит, а вот на изменения домена на что-то типа сirсeсi.com, сirсliсe.com, сrсleсi.com и сirсleсi.dev в большинстве случаев внимание не обратят (у психологов даже есть такой  трюк, когда в тексте вставляют кусок с поменянными местами гласными и согласными буквами, подавляющее большинство прочитавших эту подмену не замечают, если их не предупредить что в тексте есть какая-то аномалия).
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 12:40 
Вот этого двачую. Имеют целый отдел девляпсов и не могут сваять скриптик для terraform, который поднимет им git и ci/cd в private cloud.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено YetAnotherOnanym , 02-Ноя-22 19:04 
Подозреваю, что вполне себе могут, или могли бы, если бы такая задача была им поставлена, но для этого нужно не только умение в скриптики, но и свои сервера, а к ним бесперебойное питание, бэкап, и всё такое, а управлять всем этим хозяйством - это уже слишком сложно для эффективных менеджеров, им проще раз в месяц платить фиксированную сумму за услуги отсосинга и не париться.
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 03-Ноя-22 17:15 
Зачем сервера? Что мешает сделать private vpc в aws поднять там кубер и задеплоить gitlab, jenkins etc.?
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено хрю , 02-Ноя-22 12:13 
>>На странице входа предлагалось ввести логин и пароль с GitHub, а также использовать аппаратный ключ для формирования одноразового пароля для прохождения двухфакторной аутентификации.

А ключи от квартиры где деньги лежат не просили? :-)))

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 02-Ноя-22 12:58 
Красота какая - ни buffer-overflow вам, ни use-after-free, ни тот-самый-язык...
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено darkshvein , 02-Ноя-22 18:39 
>приватным репозиториям
>размещённым на GitHub.

что то тут не так...
л - лох.

"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено user90 , 02-Ноя-22 21:05 
Дык уровень нынешнего среднестатистического ойтишника..
"Фишинг-атака на сотрудников Dropbox привела к утечке 130 зак..."
Отправлено Аноним , 03-Ноя-22 14:43 
>утилиты и файлы конфигурации, используемые командой, отвечающей за безопасность

Бывшей командой бггг