Аморфный Постер
GitHub сообщает, что неизвестные злоумышленники получили несанкционированный доступ к некоторым репозиториям кода и украли сертификаты подписи кода для двух настольных приложений: Desktop и Atom. Из отчета: Сертификаты подписи кода ставят криптографическую печать на код, чтобы убедиться, что он был разработан указанной организацией, в данном случае GitHub.
В случае расшифровки сертификаты могут позволить злоумышленнику подписывать неофициальные версии приложений, которые были злонамеренно изменены, и выдавать их за законные обновления с GitHub. Текущие версии Desktop и Atom не подвержены краже учетных данных.
«Набор зашифрованных сертификатов подписи кода был украден, однако сертификаты были защищены паролем, и у нас нет доказательств их злонамеренного использования», — говорится в бюллетене компании. «В качестве превентивной меры мы отзовем открытые сертификаты, используемые для приложений GitHub Desktop и Atom». Отзыв, который вступит в силу в четверг, приведет к тому, что некоторые версии приложений перестанут работать.