GitHub Jadi Korban Peretasan, Sertifikat Penandatanganan Kode Desktop dan Atom Dicuri!

JAKARTA - Awal minggu ini GitHub yang dikenal sebagai situs web dan layanan berbasis cloud untuk pengembang perangkat lunak, mendeteksi akses tidak sah ke kumpulan repositori.

Repositori itu digunakan dalam perencanaan dan pengembangan GitHub Desktop dan Atom. Akses tidak sah tersebut ditemukan dalam peretasan yang terjadi pada Desember tahun lalu.

Perwakilan GitHub Alexis Wales menjelaskan terkait peretasa itu. Pada 6 Desember 2022, repositori dari Atom, Desktop, dan organisasi milik GitHub yang sudah tidak digunakan lagi digandakan oleh Token Akses Pribadi (PAT) yang dikaitkan dengan akun mesin.

Setelah terdeteksi pada 7 Desember 2022, tim GitHub segera mencabut kredensial yang disusupi dan mulai menyelidiki potensi dampak terhadap pelanggan dan sistem internal. Tak satu pun dari repositori yang terpengaruh berisi data pelanggan.

"Namun, beberapa sertifikat penandatanganan kode terenkripsi disimpan di repositori ini untuk digunakan melalui Actions di alur kerja GitHub Desktop dan rilis Atom kami. Kami tidak memiliki bukti bahwa pelaku ancaman dapat mendekripsi atau menggunakan sertifikat ini," kata Wales dalam unggahan blog perusahaan yang dikutip Rabu, 1 Februari.

Beruntungnya, tidak ada data GitHub yang dicuri dalam peretasan itu, tetapi Wales tetap menyarankan pengguna untuk memastikan mereka mengunduh pebaruan terbaru di perangkat lunak yang terpengaruh.

"Setelah penyelidikan menyeluruh, kami menyimpulkan tidak ada risiko terhadap layanan GitHub.com sebagai akibat dari akses tidak sah ini dan tidak ada perubahan tidak sah yang dilakukan pada proyek ini," ungkap Wales.

Dengan penyerang yang telah mencuri sertifikat penandatanganan kode, GitHub akan mencabut sertifikat untuk beberapa versi Atom dan GitHub Desktop pada 2 Februari, jadi pengguna harus memperbarui sebelum tanggal ini.

"Seperangkat sertifikat penandatanganan kode terenkripsi telah diekstraksi. Namun, sertifikat tersebut dilindungi kata sandi dan kami tidak memiliki bukti penggunaan jahat," ujar Wales.

"Sebagai tindakan pencegahan, kami akan mencabut sertifikat yang terekspos dan digunakan untuk aplikasi GitHub Desktop dan Atom. Mencabut sertifikat ini akan membatalkan beberapa versi GitHub Desktop untuk Mac dan Atom," imbuhnya.

Lebih lanjut, Wales juga menyatakan GitHub versi Desktop untuk Mac seperti 3.1.2, 3.1.1, 3.1.0, 3.0.8, 3.0.7, 3.0.6, 3.0.5, 3.0.4, 3.0.3 dan 3.0.2 akan berhenti berfungsi pada 2 Februari.

Sementara, GitHub Desktop untuk Windows tidak terpengaruh. Selain itu, perusahaan juga memperingatkan versi Atom 1.63.0 dan 1.63.1 akan berhenti berfungsi pada tanggal yang sama, dan untuk tetap menggunakan Atom, pengguna harus mengunduh versi Atom sebelumnya.