CONFIRMADO: GitHub foi hackeado e certificados roubados

github-hackeado-chaves-roubadas-github-desktop-atom

O GitHub confirmou que foi alvo de hackers. Porém, a plataforma disse que o acesso não autorizado ocorreu no conjunto de repositórios usados para o desenvolvimento do GitHub Desktop e Atom. Segundo a empresa, o hackeamento GitHub ocorreu em dezembro de 2022.

Recomendações do GitHub para o hackeamento de dezembro de 2022

Para garantir a segurança dos usuários do GitHub Desktop e do Atom, o GitHub recomenda que todos que utilizam ambos aplicativos atualizem para as últimas versões com urgência. Além disso, também foi dito pelo GitHub que o GitHub.com não foi afetado, apenas os aplicativos.

Como os hackers roubaram todos os certificados de assinatura de código, a empresa já revogou todos eles, a começar pelo Atom e vai fazer a revogação do GitHub Desktop amanhã 2 de fevereiro de 2023. Assim, é recomendável que todos os usuários façam isso hoje, antes desta data.

Detalhes do hackeamento do GitHub em dezembro

Um conjunto de certificados de assinatura de código criptografados foi exfiltrado; no entanto, os certificados foram protegidos por senha e não temos evidências de uso malicioso. Como medida preventiva, revogaremos o exposto certificados usados ??para os aplicativos GitHub Desktop e Atom. A revogação desses certificados invalidará algumas versões do GitHub Desktop para Mac e Atom

disse Alexis Wales do GitHub.

Em 6 de dezembro de 2022, os repositórios de nosso Atom, desktop e outras organizações obsoletas de propriedade do GitHub foram clonados por um Personal Access Token (PAT) comprometido associado a uma conta de máquina. Uma vez detectado em 7 de dezembro de 2022, nossa equipe revogou imediatamente as credenciais comprometidas e começou a investigar o possível impacto para clientes e sistemas internos. Nenhum dos repositórios afetados continha dados de clientes.

Explica Wales.

No entanto, vários certificados de assinatura de código criptografados foram armazenados nesses repositórios para uso por meio de ações em nossos fluxos de trabalho de lançamento do GitHub Desktop e Atom. Não temos evidências de que o agente da ameaça foi capaz de descriptografar ou usar esses certificados.

Conlui.

Por fim, é importante lembrar que o GitHub Desktop para macOS vai deixar funcionar em 2 de fevereiro, a versão Desktop para Microsoft Windows não será afetada.

As seguintes versões do GitHub Desktop para macOS precisam ser atualizadas:

  • 3.1.2
  • 3.1.1
  • 3.1.0
  • 3.0.8
  • 3.0.7
  • 3.0.6
  • 3.0.5
  • 3.0.4
  • 3.0.3
  • 3.0.2

Para o Atom, as versões abaixo, para qualquer sistema operacional, também vão parar de funcionar, então atualize hoje:

  • 1.63.0
  • 1.63.1

Você pode saber mais detalhes sobre tudo o que aconteceu no Blog oficial do GitHub. Saiba também que as versões do GitHub Desktop para Linux e o Atom para Linux não foram mencionadas no comunidade oficial.