گیت‌هاب از دسترسی هکرها به گواهی‌های امضای کد دو اپلیکیشن خود خبر داد

شرکت گیت‌هاب در پستی در وبلاگ خود درباره این اتفاق نوشت: «مجموعه‌ای از گواهی‌های امضای کد رمزنگاری‌شده به‌صورت غیرمجاز استخراج شده‌اند؛ اما روی گواهی‌ها رمزعبور وجود داشته و هیچ مدرکی مبنی بر استفاده مخرب از آن‌ها دیده نشده است.» با این حال، این شرکت اعلام کرده است که جهت پیشگیری، گواهی‌های افشایی  GitHub Desktop و Atom  را باطل می‌کند.

این ابطال که از پنج‌شنبه اجرایی می‌شود بر روی نسخه‌های خاصی از این دو برنامه اثر می‌گذارد. این نسخه‌ها برای GitHub Desktop در مک شامل موارد زیر خواهد بود. نسخه ویندوز این برنامه آسیبی ندیده است.

• 3.1.2
• 3.1.1
• 3.1.0
• 3.0.8
• 3.0.7
• 3.0.6
• 3.0.5
• 3.0.4
• 3.0.3
• 3.0.2

در اپلیکیشن Atom هم این نسخه‌ها با ابطال گواهی مواجه می‌شوند:

• 1.63.1
• 1.63.0

گیت‌هاب گزینه‌های پیش روی هکرها را محدود می‌کند

گواهی‌های امضای کد نوعی مهر رمزنگاری هستند که روی کدها قرار می‌گیرند تا تأیید کنند که برنامه توسط توسعه‌دهنده واقعی آن – در این مورد گیت‌هاب – ساخته شده است. اگر گواهی‌ها رمزگشایی شوند، مهاجمان می‌توانند از آن‌ها برای امضای نسخه‌های غیررسمی اپلیکیشن‌ها استفاده کنند و نسخه‌های خود را از طریق آپدیت‌های موجه به دست کاربران برسانند.

یکی از گواهی‌هایی که به دست هکرها افتاده است، در تاریخ 4 ژانویه منقضی شده بود و دیگری پنج‌شنبه همین هفته منقضی می‌شود. ابطال این گواهی‌ها باعث می‌شود کدها امکان قبول‌شدن در اعتبارسنجی‌ها را نداشته باشند و صرف‌نظر از زمان امضاشدن، در این بررسی‌ها رد شوند.

گیت‌هاب اولین بار در تاریخ 6 دسامبر اعلام کرد که مهاجمان با کمک یک توکن دسترسی شخصی (PAT) از مخازن دسکتاپ، Atom و دیگر سازمان‌های زیرمجموعه این شرکت کلون ساخته‌اند. با این حال، هنوز مشخص نیست که هکرها چگونه به سیستم‌های این شرکت نفوذ کرده و این اطلاعات را به‌دست آورده‌اند.