GitHub отзывает украденные при взломе сертификаты подписи кода Desktop и Atom
GitHub отзывает украденные при взломе сертификаты подписи кода Desktop и Atom
На данный момент инженеры GitHub не нашли доказательств того, что защищенные паролем сертификаты (один сертификат Apple Developer ID и два сертификата подписи кода Digicert, используемые для приложений Windows) использовались в злонамеренных целях.
Из сообщения компании
«6 декабря 2022 года репозитории наших атомных, настольных и других устаревших организаций, принадлежащих Github, были клонированы с помощью скомпрометированного токена личного доступа (PAT), связанного с учетной записью компьютера. После обнаружения 7 декабря 2022 года наша команда немедленно отозвала скомпрометированные учетные данные и начала расследование потенциального воздействия на клиентов и внутренние системы. Ни в одном из затронутых репозиториев не было данных клиентов».
В компании добавили, что сервисы GitHub.com не подвергаются риску из-за этого нарушения безопасности и что в затронутые проекты не было внесено несанкционированных изменений.
Однако скомпрометированные сертификаты будут отозваны, что сделает недействительными версии GitHub Desktop для Mac и Atom, подписанные с их использованием.
В GitHub сообщили, что три сертификата будут отозваны 2 февраля 2023 года.
Из сообщения компании:
«Срок действия одного сертификата Digicert истек 4 января 2023 г., а срок действия второго истекает 1 февраля 2023 г. После истечения срока действия эти сертификаты больше нельзя использовать для подписи кода. Хотя они не будут представлять постоянного риска, в качестве превентивной меры мы отзовем их 2 февраля. Сертификат Apple Developer ID действителен до 2027 года. Мы работаем с Apple над отслеживанием любых новых исполняемых файлов (например, приложений), подписанных открытым сертификатом, до тех пор, пока сертификат не будет отозван 2 февраля».
Команда GitHub удалила две последние версии приложения Atom (1.63.0–1.63.1) со страницы выпусков и отзовет сертификаты подписи Mac и Windows, используемые для подписи настольных приложений версий 3.0.2–3.1.2 и Atom версий 1.63.0. -1.63.1 2 февраля.
После отзыва сертификатов все версии приложения, подписанные скомпрометированными сертификатами, больше не будут работать.
Из сообщения компании:
«4 января 2023 года мы опубликовали новую версию настольного приложения. Эта версия подписана новыми сертификатами, которые не были раскрыты злоумышленнику. Мы настоятельно рекомендуем обновить Desktop и/или понизить версию Atom до 2 февраля, чтобы избежать сбоев в ваших рабочих процессах».
Startpack подготовил список сервисов для мониторинга IT-активов и управления ими. Позволяют оперативно вести учёт и проводить инвентаризацию оборудования, отслеживать перемещение техники и расходных материалов, получать оперативную информацию об актуальности лицензий программного обеспечения предприятия. Программные комплексы помогут оперативно развернуть IT-активы компании и наладить связку с подразделениями или удалёнными филиалами.
Статьи по теме
Комментариев пока не было