Falha de segurança

CONFIRMADO: GitHub foi hackeado e certificados roubados

GitHub teve suas chaves de assinatura de código roubadas por hackers e empresa emite alerta que algumas versões do GitHub Destkop e Atom vão parar de funcionar. Saiba o que fazer e até quando!

Emanuel Negromonte
github-hackeado-chaves-roubadas-github-desktop-atom

O GitHub confirmou que foi alvo de hackers. Porém, a plataforma disse que o acesso não autorizado ocorreu no conjunto de repositórios usados para o desenvolvimento do GitHub Desktop e Atom. Segundo a empresa, o hackeamento GitHub ocorreu em dezembro de 2022.

Tabela de conteúdo
Recomendações do GitHub para o hackeamento de dezembro de 2022Detalhes do hackeamento do GitHub em dezembro

Recomendações do GitHub para o hackeamento de dezembro de 2022

Para garantir a segurança dos usuários do GitHub Desktop e do Atom, o GitHub recomenda que todos que utilizam ambos aplicativos atualizem para as últimas versões com urgência. Além disso, também foi dito pelo GitHub que o GitHub.com não foi afetado, apenas os aplicativos.

Como os hackers roubaram todos os certificados de assinatura de código, a empresa já revogou todos eles, a começar pelo Atom e vai fazer a revogação do GitHub Desktop amanhã 2 de fevereiro de 2023. Assim, é recomendável que todos os usuários façam isso hoje, antes desta data.

Detalhes do hackeamento do GitHub em dezembro

Um conjunto de certificados de assinatura de código criptografados foi exfiltrado; no entanto, os certificados foram protegidos por senha e não temos evidências de uso malicioso. Como medida preventiva, revogaremos o exposto certificados usados ??para os aplicativos GitHub Desktop e Atom. A revogação desses certificados invalidará algumas versões do GitHub Desktop para Mac e Atom

disse Alexis Wales do GitHub.

Em 6 de dezembro de 2022, os repositórios de nosso Atom, desktop e outras organizações obsoletas de propriedade do GitHub foram clonados por um Personal Access Token (PAT) comprometido associado a uma conta de máquina. Uma vez detectado em 7 de dezembro de 2022, nossa equipe revogou imediatamente as credenciais comprometidas e começou a investigar o possível impacto para clientes e sistemas internos. Nenhum dos repositórios afetados continha dados de clientes.

Explica Wales.

No entanto, vários certificados de assinatura de código criptografados foram armazenados nesses repositórios para uso por meio de ações em nossos fluxos de trabalho de lançamento do GitHub Desktop e Atom. Não temos evidências de que o agente da ameaça foi capaz de descriptografar ou usar esses certificados.

Conlui.

Por fim, é importante lembrar que o GitHub Desktop para macOS vai deixar funcionar em 2 de fevereiro, a versão Desktop para Microsoft Windows não será afetada.

As seguintes versões do GitHub Desktop para macOS precisam ser atualizadas:

  • 3.1.2
  • 3.1.1
  • 3.1.0
  • 3.0.8
  • 3.0.7
  • 3.0.6
  • 3.0.5
  • 3.0.4
  • 3.0.3
  • 3.0.2

Para o Atom, as versões abaixo, para qualquer sistema operacional, também vão parar de funcionar, então atualize hoje:

  • 1.63.0
  • 1.63.1

Você pode saber mais detalhes sobre tudo o que aconteceu no Blog oficial do GitHub. Saiba também que as versões do GitHub Desktop para Linux e o Atom para Linux não foram mencionadas no comunidade oficial.

TAGGED:
SOURCES:Blog do GitHub
Share This Article
Por Emanuel Negromonte
Follow:
Fundador do SempreUPdate. Acredita no poder do trabalho colaborativo, no GNU/Linux, Software livre e código aberto. É possível tornar tudo mais simples quando trabalhamos juntos, e tudo mais difícil quando nos separamos.
Sair da versão mobile