گیتهاب میگوید هکرها توانستهاند از گواهیهای امضای کد در دو اپلیکیشن این شرکت کلون بسازند و بههمین خاطر گواهیها باطل میشوند.
گیتهاب میگوید چند مهاجم ناشناس به بخشی از مخازن کدهای این شرکت دسترسی غیرمجاز پیدا کردهاند و گواهیهای امضای کد دو اپلیکیشن این شرکت را دزدیدهاند. هنوز مشخص نیست که این مهاجمان چگونه این عملیات نفوذ را انجام دادهاند.
شرکت گیتهاب در پستی در وبلاگ خود درباره این اتفاق نوشت: «مجموعهای از گواهیهای امضای کد رمزنگاریشده بهصورت غیرمجاز استخراج شدهاند؛ اما روی گواهیها رمزعبور وجود داشته و هیچ مدرکی مبنی بر استفاده مخرب از آنها دیده نشده است.» با این حال، این شرکت اعلام کرده است که جهت پیشگیری، گواهیهای افشایی GitHub Desktop و Atom را باطل میکند.
این ابطال که از پنجشنبه اجرایی میشود بر روی نسخههای خاصی از این دو برنامه اثر میگذارد. این نسخهها برای GitHub Desktop در مک شامل موارد زیر خواهد بود. نسخه ویندوز این برنامه آسیبی ندیده است.
- ۳.۱.۲
- ۳.۱.۱
- ۳.۱.۰
- ۳.۰.۸
- ۳.۰.۷
- ۳.۰.۶
- ۳.۰.۵
- ۳.۰.۴
- ۳.۰.۳
- ۳.۰.۲
در اپلیکیشن Atom هم این نسخهها با ابطال گواهی مواجه میشوند:
- ۱.۶۳.۱
- ۱.۶۳.۰
گیتهاب گزینههای پیش روی هکرها را محدود میکند
گواهیهای امضای کد نوعی مهر رمزنگاری هستند که روی کدها قرار میگیرند تا تأیید کنند که برنامه توسط توسعهدهنده واقعی آن – در این مورد گیتهاب – ساخته شده است. اگر گواهیها رمزگشایی شوند، مهاجمان میتوانند از آنها برای امضای نسخههای غیررسمی اپلیکیشنها استفاده کنند و نسخههای خود را از طریق آپدیتهای موجه به دست کاربران برسانند.
یکی از گواهیهایی که به دست هکرها افتاده است، در تاریخ ۴ ژانویه منقضی شده بود و دیگری پنجشنبه همین هفته منقضی میشود. ابطال این گواهیها باعث میشود کدها امکان قبولشدن در اعتبارسنجیها را نداشته باشند و صرفنظر از زمان امضاشدن، در این بررسیها رد شوند.
گیتهاب اولین بار در تاریخ ۶ دسامبر اعلام کرد که مهاجمان با کمک یک توکن دسترسی شخصی (PAT) از مخازن دسکتاپ، Atom و دیگر سازمانهای زیرمجموعه این شرکت کلون ساختهاند. با این حال، هنوز مشخص نیست که هکرها چگونه به سیستمهای این شرکت نفوذ کرده و این اطلاعات را بهدست آوردهاند.
منبع: دیجیاتو
