Github gikk torsdag ut mot rykter om at de skal ha blitt hacket, skriver Zdnet. En ukjent avsender hadde da delt den påståtte kildekoden til Github.com og enterprise-utgaver av kodeportalen.
Det hele dukket opp i form av et kodebidrag, en såkalt commit, under DMCA-seksjonen av Github, som er knyttet til den amerikanske opphavsrettloven Digital Millenium Copyright Act.
Nat Friedman, administrerende direktør i Github, tilbakeviser at det dreier seg om hacking. Ifølge ham er kodebidraget forfalsket, for å få det til å se ut som han er avsender.
Lekkasjen omfatter ikke alt av Githubs kildekode, men produktet Github Enterprise Server, som virksomheter kan kjøre lokalt. Dette er kode som Gihub selv lekket ved et uhell til enkelte kunder for flere måneder siden, skriver Friedman i en diskusjonstråd på Hackernews.
Forfalskningen han snakker om, ser ut til å ha bakgrunn i kjente sårbarheter i Github, som bare dager tidligere ble utnyttet da en sikkerhetsforsker la inn et bibliotek kalt youtube-dl i den samme DMCA-seksjonen.
– Git gjør det trivielt å forfalske ikke-signerte kodebidrag, så vårt råd er at folk signerer og ser etter merkelappen «bekreftet» (verified) på Github, for å forsikre seg om at ting er slik de fremstår, skriver Friedman.
Ifølge Zdnet lover han nå at de skal fikse sårbarhetene for å unngå at uvedkommende kan legge inn kode i andres prosjekter ved hjelp av falske identiteter.
Bakdøren i Linux – en sofistikert etterretningsoperasjon?
