原始碼代管平臺GitHub本周公告平臺上的程式碼儲存庫遭駭,致使2款桌面App的程式碼簽章憑證被複製,GitHub已撤銷外洩的憑證,呼籲用戶升級到安全版本。
根據GitHub的說明,去年12月7日GitHub偵測到數個用於GitHub Desktop和Atom App的規畫和開發程式碼儲存庫,以及GitHub旗下舊單位的儲存庫在前一天遭不明人士存取。他們的調查顯示,這些儲存庫被駭客利用機器帳號相關的個人存取令牌(Personal Access Token,PAT)複製且外流。該平臺一發現就立即撤銷存取這些儲存庫的令牌。
GitHub說外洩的Desktop和Atom App憑證有密碼保護,而且他們在安全公告發布當下(1/30)還沒發現這些憑證有被惡意存取、或已經被解密的證據。除此之外,他們判斷這次存取未對GitHub.com服務造成風險,這些專案也沒有被攻擊者變更。此外,上述儲存庫也不包含客戶資料。
GitHub說明,用於Desktop和Atom App的外洩簽章憑證中,有3項在被駭時是有效的,包括2項Windows平臺的Digicert憑證,以及1項Apple Developer ID憑證,涉及特定Atom App版,以及特定Mac版本的Desktop App。
詳細而言,Digicert憑證各在2023年1月4日及2月1日到期,而Apple Developer ID憑證效期到2027年。但為求安全,GitHub會在2023年2月2日撤銷這些憑證。
由於撤銷簽章憑證後會使得這些App無法使用,GitHub呼籲特定Mac版Desktop App用戶升級到今年1月4日釋出的最新版本,包括3.0.1-3.0.8、3.1.0-3.1.2。Windows版Desktop App則未受影響。
特定版本,包括1.63.0、1.63.1的Atom App則會在2月2日停止運作,用戶必須升級到前一個版本1.60版。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19