O GitHub confirmou que hackers roubaram três certificados digitais usados para seus aplicativos Desktop e Atom durante um ataque cibernético em dezembro do ano passado. Em uma postagem no blog da plataforma de hospedagem de código-fonte e arquivos, a empresa também disse que, após investigar o acidente, concluiu que não havia risco para os serviços do GitHub.com e nenhuma alteração não autorizada nos projetos.
“Um conjunto de certificados de assinatura de código criptografados foi exfiltrado; no entanto, os certificados foram protegidos por senha e não temos evidências de uso malicioso”, diz a postagem de Alexis Wales, vice-presidente de operações de segurança do GitHub. “Como medida preventiva, revogaremos os certificados expostos usados para os aplicativos GitHub Desktop e Atom. A revogação desses certificados invalidará algumas versões do GitHub Desktop para Mac e Atom”, completou.
As versões do GitHub Desktop para Mac que deixarão de funcionar a partir desta quinta-feira, 2, são as que estão entre a 3.0.2 e a 3.1.2. Já o GitHub Desktop para Windows não será afetado. Quanto ao editor de texto Atom, as versões 1.63.0 e 1.63.1 deixarão de funcionar.
Para continuar usando as soluções de software, o GitHub pediu aos usuários de Mac que atualizassem o GitHub Desktop para a versão mais recente. Em contraste, os usuários do Atom devem baixar uma versão anterior do programa para continuar trabalhando nele.
Veja isso
GitHub adiciona recurso para verificação automática de código
Hackers usam GitHub e Heroku para minerar criptomoedas
“A segurança e a confiabilidade do GitHub e do ecossistema de desenvolvedores mais amplo são nossa maior prioridade”, acrescentou Wales. “Recomendamos que os usuários sigam as recomendações acima para continuar usando o GitHub Desktop e o Atom.”
Para especialistas em cibersegurança, a revogação dos certificados é uma medida sensata, já que hackers podem usá-los para mascarar seu software como proveniente do GitHub.
A divulgação do GitHub ocorre semanas depois que a empresa introduziu um novo recurso para configurar a verificação automática de código em repositórios.