Hackers zijn aan de haal gegaan met valideringscertificaten van GitHub Desktop en Atom. Om het zekere voor het onzekere te nemen, raadt GitHub aan de desktopapp nu te updaten.
GitHub maakt melding van een cyberincident dat op 6 december heeft plaatsgevonden. De aanvallers wisten een toegangstoken buit te maken en enkele pakketbronnen te kopiëren. Nauwelijks een dag later kwam GitHub de verdachte activiteit op het spoor en startte het een onderzoek om de impact van het incident in te schatten.
Al bij al blijkt dat nog mee te vallen, volgens GitHub althans. Er zouden geen klantendata zijn gestolen en het incident kan de werking van de web- en desktopversies van GitHub niet in het gedrang brengen. De gekopieerde pakketbronnen bevatten wel certificaten om code van de desktopapp en de broncode-editor Atom. Die zijn gelukkig beveiligd met wachtwoorden, maar als die aanvaller die zouden kunnen kraken kunnen ze de certificaten misbruiken om valse updates uit te sturen.
GitHub wil dan ook geen risico nemen en zal de gestolen certificaten intrekken om potentieel misbruik te voorkomen. Dit proces zal op twee februari voltooid zijn. Het advies aan gebruikers van de desktopapp van GitHub klinkt dan ook om de applicatie voor die datum te updaten naar de nieuwste versie die sinds vier januari beschikbaar is.
Deze versies voor Mac werken niet meer vanaf 2 februari
Het intrekken van de certificaten zal er namelijk voor zorgen dat bepaalde versies van de GitHub-app niet meer kunnen werken. Dit treft voornamelijk de Mac-versie, meer bepaald de volgende versies:
- 3.1.2
- 3.1.1
- 3.1.0
- 3.0.8
- 3.0.7
- 3.0.6
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
Voor Atom zullen volgende versies vanaf twee februari geen ondersteuning meer krijgen:
- 1.63.1
- 1.63.0
De ingreep zal de Windows-app in geen enkele versie aantasten. Toch worden ook Windows-gebruikers aangeraden hun versie preventief bij te werken. Een feestweek voor GitHub waarin het ontwikkelaarsplatform zijn honderd miljoenste gebruiker mocht verwelkomen, eindigt zo toch op een sisser.