GitHub heeft besloten om meerdere eigen certificaten in te trekken nadat een aanvaller op de repositories van het ontwikkelaarsplatform wist in te breken. De maatregel heeft gevolgen voor gebruikers van GitHub Desktop for Mac en Atom, aangezien meerdere versies van deze software vanaf 2 februari niet meer zullen werken.
Begin vorige maand ontdekte GitHub ongeautoriseerde toegang tot meerdere repositories gebruikt voor de ontwikkeling van GitHub Desktop en Atom. GitHub Desktop is software die ontwikkelaars via een grafische gebruikersinterface gebruik laat maken van GitHub in plaats van een commandline of browser. Atom is een teksteditor. Een aanvaller wist door middel van een gecompromitteerd Personal Access Token (PAT) van een machine-account de repositories te klonen. Daarbij werden ook meerdere versleutelde certificaten buitgemaakt, gebruikt voor het signeren van code.
GitHub stelt dat de certificaten met een wachtwoord waren beveiligd en er geen bewijs van misbruik is. Uit voorzorg is besloten om de betreffende certificaten gebruikt voor GitHub Desktop en Atom in te trekken. Daardoor zullen sommige versies van beide applicaties vanaf 2 februari niet meer werken. De maatregel heeft geen impact voor gebruikers van GitHub Desktop for Windows.
Volgens GitHub is er geen risico voor bestaande installaties van de Desktop- en Atom-apps. Mocht een aanvaller de certificaten weten te ontsleutelen is het mogelijk om onofficiële applicaties te signeren waardoor het lijkt alsof ze door GitHub zijn ontwikkeld. Op 4 januari heeft GitHub een nieuwe versie van de Desktop-app uitgebracht die met een nieuw certificaat is gesigneerd. Hoe de PAT kon worden gecompromitteerd laat GitHub niet weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.