"Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев" | +/– |  |
| Сообщение от opennews (??), 02-Ноя-22, 08:13 | ||
Компания Dropbox раскрыла сведения об инциденте, в результате которого злоумышленники получили доступ к 130 приватным репозиториям, размещённым на GitHub. Утверждается, что в скомпрометированных репозиториях содержались модифицированные для нужд Dropbox ответвления от существующих открытых библиотек, некоторые внутренние прототипы, а также утилиты и файлы конфигурации, используемые командой, отвечающей за безопасность. Атака не затронула репозитории с кодом базовых приложений и ключевых элементов инфраструктуры, которые разрабатывались отдельно. Разбор показал, что атака не привела к утечке пользовательской базы и компрометации инфраструктуры... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по ответам | RSS] |
| 1. Сообщение от Аноним (1), 02-Ноя-22, 08:13 | –2 +/– | |
>Утверждается, что в скомпрометированных [закрытых] репозиториях содержались модифицированные для нужд Dropbox ответвления от существующих открытых библиотек | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #3, #7, #10, #37 | ||
| 2. Сообщение от Аноним (3), 02-Ноя-22, 08:13 | +1 +/– | |
epic fail... почти | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 3. Сообщение от Аноним (3), 02-Ноя-22, 08:14 | +7 +/– | |
честно признались когда это уже выложили в открытый доступ?) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 Ответы: #4 | ||
| 4. Сообщение от Аноним (3), 02-Ноя-22, 08:17 | +/– | |
*могут выложить в открытый доступ | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #3 | ||
| 5. Сообщение от Аноним (5), 02-Ноя-22, 08:27 | +1 +/– | |
Самое главное не выложили, `скачать исходники можно по такой то magnet ссылки` | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #8 | ||
| 6. Сообщение от iPony129412 (?), 02-Ноя-22, 08:30 | +2 +/– | |
Когда-то крутым сервисом были. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 7. Сообщение от Аноним (7), 02-Ноя-22, 08:39 | +3 +/– | |
> Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 8. Сообщение от Аноним (8), 02-Ноя-22, 08:41 | +/– | |
посталкери в btdig по DHT может вполне себе раздают | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #5 | ||
| 9. Сообщение от arisu (ok), 02-Ноя-22, 09:56 | +3 +/– |  |
не забываем, что аппаратные ключи очень надёжны и защищают от подобных атак! всем немедленно перейти на… ой, как не защитили? неважно, всё равно переходите! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #18, #33 | ||
| 10. Сообщение от Аноним (10), 02-Ноя-22, 09:56 | +/– | |
Уточните, они какой пункт GPL нарушили? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 Ответы: #12, #14 | ||
| 11. Сообщение от YetAnotherOnanym (ok), 02-Ноя-22, 09:57 | +6 +/– |  |
> под видом предупреждения от системы непрерывной интеграции CircleCI | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #23, #34 | ||
| 12. Сообщение от Аноним (7), 02-Ноя-22, 10:23 | +/– | |
А сам-то как думаешь? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #10 | ||
| 14. Сообщение от Аноним (14), 02-Ноя-22, 10:25 | –6 +/– | |
Тот, где говорится, что нужно предоставлять доступ к модифицированным исходникам. Я потому и не лезу в опенсурц, что это полнейший развод. Тебе говорят мол коммунизм, от каждого по способности, каждому по потребности. А на деле это тебе вечный бесплатный бета-тест кривого линуха, а им миллиарды за бесплатное использование твоих наработок в коммерческих проектах. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #10 Ответы: #15, #16, #17, #39 | ||
| 15. Сообщение от iPony129412 (?), 02-Ноя-22, 10:45 | +1 +/– | |
А с каких это пор открытое == GPL ? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #14 | ||
| 16. Сообщение от Аноним (16), 02-Ноя-22, 11:02 | +3 +/– | |
> модифицированные для нужд Dropbox | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #14 Ответы: #21 | ||
| 17. Сообщение от arisu (ok), 02-Ноя-22, 11:06 | –3 +/– | |
хотя если честно — то ты не лезешь туда потому что до сих пор не можешь отладить «приветмир». уже 27 лет. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #14 Ответы: #22, #59 | ||
| 18. Сообщение от Хру (?), 02-Ноя-22, 11:14 | +/– | |
Голова тоже аппаратный ключ в некотором роде :) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #9 Ответы: #20 | ||
| 20. Сообщение от arisu (ok), 02-Ноя-22, 11:26 | +2 +/– | |
> Голова тоже аппаратный ключ в некотором роде :) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #18 Ответы: #40 | ||
| 21. Сообщение от Аноним (7), 02-Ноя-22, 11:26 | +/– | |
> софтины у тебя нет | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #16 Ответы: #24 | ||
| 22. Сообщение от Аноним (7), 02-Ноя-22, 11:35 | +2 +/– | |
> до сих пор не можешь отладить «приветмир» | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #17 | ||
| 23. Сообщение от onanim (?), 02-Ноя-22, 11:55 | –1 +/– | |
включая мозги. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #11 Ответы: #29, #54 | ||
| 24. Сообщение от Аноним (24), 02-Ноя-22, 11:58 | +3 +/– | |
Если тебе выдали бинарник приложения, код которого опубликован под GPL, у тебя есть право запросить исходники, из которых конкретно этот бинарник был скомпилирован, а по условиям лицензии эти исходники тебе должны выдать. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #21 Ответы: #26, #28, #49 | ||
| 26. Сообщение от КО (?), 02-Ноя-22, 12:10 | +/– | |
Подумаешь публичная лицензия называется, нолог плоти. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #24 | ||
| 27. Сообщение от хрю (?), 02-Ноя-22, 12:13 | +1 +/– | |
>>На странице входа предлагалось ввести логин и пароль с GitHub, а также использовать аппаратный ключ для формирования одноразового пароля для прохождения двухфакторной аутентификации. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 28. Сообщение от Аноним (7), 02-Ноя-22, 12:14 | –1 +/– | |
Тебя, конечно, не спрашивали, но раз ты встрял отвечать... У тебя в самом начале затык получился: что значит "выдали бинарник". В этом и состоял вопрос, если бы ты внимательно прочитал... Попробуй подойти к вопросу с юридической стороны. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #24 Ответы: #42, #44 | ||
| 29. Сообщение от Аноним (29), 02-Ноя-22, 12:15 | +5 +/– | |
Браузеры (Гугл) сделали всё, чтобы юзер на адресную строку никогда не смотрел. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #23 | ||
| 33. Сообщение от Аноним (33), 02-Ноя-22, 12:33 | +/– | |
"Защищают от подобных атак" - это не про TOTP-генераторы, а про всякие yubikey и google titan, которые умеют в webauthn. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #9 Ответы: #35, #51 | ||
| 34. Сообщение от Аноним (34), 02-Ноя-22, 12:40 | +/– | |
Вот этого двачую. Имеют целый отдел девляпсов и не могут сваять скриптик для terraform, который поднимет им git и ci/cd в private cloud. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #11 Ответы: #55 | ||
| 35. Сообщение от arisu (ok), 02-Ноя-22, 12:51 | +1 +/– | |
о, а вот и торговый агент пожаловал! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #33 | ||
| 36. Сообщение от Аноним (36), 02-Ноя-22, 12:58 | +4 +/– | |
Красота какая - ни buffer-overflow вам, ни use-after-free, ни тот-самый-язык... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 37. Сообщение от Аноним (37), 02-Ноя-22, 13:07 | +1 +/– | |
Так если они модифицированные исходники использовали только в своих сервисах и не распространяли их, и они не под AGPL, то можно. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 39. Сообщение от Аноним (10), 02-Ноя-22, 13:21 | +/– | |
В gpl нет тех слов что вы тут написали и про коммунизм там тебе ничего нет. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #14 | ||
| 40. Сообщение от Аноним (10), 02-Ноя-22, 13:24 | +/– | |
Судя по комментариям на опеннет у местных экспертов этого ключа никогда не было | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #20 Ответы: #41 | ||
| 41. Сообщение от arisu (ok), 02-Ноя-22, 13:34 | +1 +/– | |
хорошая попытка, но нет, всё ещё не продаётся. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #40 | ||
| 42. Сообщение от Аноним (42), 02-Ноя-22, 13:49 | +1 +/– | |
мамкины юристы в треде он | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #28 | ||
| 44. Сообщение от Иван (??), 02-Ноя-22, 14:01 | +/– |  |
Научи нас, профи, подходить к вопросу "с юридической стороны". Приведи пример. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #28 | ||
| 49. Сообщение от Аноним (-), 02-Ноя-22, 15:34 | –3 +/– | |
>Если бинарники были получены не очень законным путём, возможно право запросить исходники по-прежнему есть, но особо волновать это никого не будет. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #24 Ответы: #50 | ||
| 50. Сообщение от Аноним (-), 02-Ноя-22, 15:36 | +/– | |
И да, чуть не забыл. GPL явно обязывает прописывать рабочий рецепт зборки ПО. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #49 | ||
| 51. Сообщение от Аноним (51), 02-Ноя-22, 17:29 | +/– | |
webauthn защищает от поддельного сайта транслирующего команды на реальный? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #33 | ||
| 53. Сообщение от darkshvein (ok), 02-Ноя-22, 18:39 | +1 +/– |  |
>приватным репозиториям | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 54. Сообщение от YetAnotherOnanym (ok), 02-Ноя-22, 18:57 | +/– | |
Включая мозги, у тебя в адресной строке может быть домен сirсleсi.com (с кириллическими "с" вместо латинских "c"), на самом деле, это будет xn--cirli-2we6fc.com, но выглядеть в адресной строке он будет в точности как сirсleсi.com. Скажи спасибо IETF и ICANN. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #23 Ответы: #62, #63 | ||
| 55. Сообщение от YetAnotherOnanym (ok), 02-Ноя-22, 19:04 | +/– | |
Подозреваю, что вполне себе могут, или могли бы, если бы такая задача была им поставлена, но для этого нужно не только умение в скриптики, но и свои сервера, а к ним бесперебойное питание, бэкап, и всё такое, а управлять всем этим хозяйством - это уже слишком сложно для эффективных менеджеров, им проще раз в месяц платить фиксированную сумму за услуги отсосинга и не париться. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #34 Ответы: #65 | ||
| 57. Сообщение от user90 (?), 02-Ноя-22, 21:05 | +1 +/– | |
Дык уровень нынешнего среднестатистического ойтишника.. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 59. Сообщение от Аноним (59), 03-Ноя-22, 02:05 | +1 +/– | |
Видимо, с таким скилами вам пора заканчивать писать посты. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #17 Ответы: #61 | ||
| 61. Сообщение от arisu (ok), 03-Ноя-22, 05:01 | +/– | |
не отвлекайся, твой «приветмир» сам себя не отладит. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #59 | ||
| 62. Сообщение от onanim (?), 03-Ноя-22, 10:06 | +/– | |
> Включая мозги, у тебя в адресной строке может быть домен сirсleсi.com (с | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #54 Ответы: #66 | ||
| 63. Сообщение от Аноним (63), 03-Ноя-22, 10:14 | +1 +/– | |
Такое в современных браузерах уже не прокатит, а вот на изменения домена на что-то типа сirсeсi.com, сirсliсe.com, сrсleсi.com и сirсleсi.dev в большинстве случаев внимание не обратят (у психологов даже есть такой трюк, когда в тексте вставляют кусок с поменянными местами гласными и согласными буквами, подавляющее большинство прочитавших эту подмену не замечают, если их не предупредить что в тексте есть какая-то аномалия). | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #54 | ||
| 64. Сообщение от Аноним (64), 03-Ноя-22, 14:43 | +1 +/– | |
>утилиты и файлы конфигурации, используемые командой, отвечающей за безопасность | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 65. Сообщение от Аноним (65), 03-Ноя-22, 17:15 | +/– | |
Зачем сервера? Что мешает сделать private vpc в aws поднять там кубер и задеплоить gitlab, jenkins etc.? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #55 | ||
| 66. Сообщение от YetAnotherOnanym (ok), 07-Ноя-22, 09:50 | +/– | |
Это потому, что такого домена не существует. Если домен валидный и сайт открывается (тот же "мойгаз.смородина.онлайн", к примеру) то он в адресной строке отображается именно так, если только в настройках бразера не прописано конвертировать в латиницу (в ff это параметр network.IDN_show_punycode). | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #62 | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
