01.02.2023 | GitHub отзывает сертификаты подписи кода, украденные при взломе репозиториев |
Один из представителей GitHub заявил , что неизвестные злоумышленники украли зашифрованные сертификаты подписи кода для программ GitHub Desktop и Atom Editor после получения доступа к некоторым репозиториям. До сих пор в GitHub не нашли доказательств того, что сертификаты, защищенные паролем (один сертификат Apple Developer ID и два сертификата подписи кода Digicert, используемые для приложений Windows), использовались в злонамеренных целях. «6 декабря 2022 года наши репозитории Atom, Desktop и некоторых других программ, принадлежащих GitHub, были скопированы с помощью скомпрометированного токена личного доступа ( PAT ). После обнаружения 7 декабря 2022 года наша команда немедленно отозвала скомпрометированные учётные данные и начала расследование потенциального воздействия на клиентов и внутренние системы. Как выяснилось, ни один из затронутых репозиториев не содержал данных клиентов», — сообщили в GitHub. Компания добавила, что нет никакого риска для GitHub.com из-за этого нарушения безопасности. В затронутые проекты не было внесено никаких несанкционированных изменений. Однако скомпрометированные сертификаты будут отозваны, чтобы сделать недействительными подписанные с их помощью версии GitHub Desktop и Atom Editor. В GitHub заявили, что 3 сертификата будут отозваны 2 февраля 2023 года:
GitHub удалил две последние версии Atom (1.63.0-1.63.1) со страницы релизов и 2 февраля аннулирует сертификаты подписи Mac и Windows, используемые для подписи Desktop 3.0.2-3.1.2 и Atom 1.63.0-1.63.1. После отзыва сертификатов все версии приложений, подписанные скомпрометированными сертификатами, больше не будут функционировать. «4 января 2023 года мы опубликовали новую версию Desktop. Эта версия подписана новыми сертификатами, которые не были подвержены воздействию злоумышленников. Мы настоятельно рекомендуем обновить Desktop (3.1.5) и / или установить более старую версию Atom (1.60.0) . Это необходимо сделать до 2 февраля, чтобы избежать сбоев в ваших рабочих процессах», — добавили в GitHub. |
Проверить безопасность сайта