3 мая 2018 года некоторые пользователи получили письмо от администрации портала GitHub, в котором сообщалось о необходимости смены пароля из-за ошибки, позволившей небольшому количеству сотрудников просматривать учетные данные посетителей сайта в незашифрованном виде.

«В ходе регулярного аудита GitHub мы обнаружили, что появившаяся недавно ошибка привела к раскрытию небольшого количества паролей пользователей в нашей внутренней системе регистрации», - следует из письма. Несколько сотрудников GitHub могли видеть пароли.

Крупнейший сервис для хостинга IT-проектов GitHub, запустивший в октябре 2017 года службу предупреждений безопасности, сообщил, что это позволило значительно снизить количество уязвимых библиотек кода на платформе.

Портал постоянно мониторит программы своих пользователей, работающих с менеджером пакетов NPM для Javascript и RubyGems для Ruby, сверяя их с базой данных общеизвестных уязвимостей. Когда в ней появляются обновления, GitHub сканирует свои хранилища и в случае обнаружения слабых мест в проектах отправляет администраторам уведомления. 

В последнее время утекшие эксплоиты и хакерские инструменты из арсенала американских спецслужб наделали много шума.

Рассудив, что все программы для взлома удержать в секрете ему не удастся, Агентство национальной безопасности США решило открыть исходный код некоторых своих проектов. С этой целью спецслужба завела учетную запись на GitHub и представила на сайте свою официальную страницу. В настоящее время на странице опубликованы 32 проекта программы Technology Transfer Program. Данная программа предназначена для передачи разработанных АНБ технологий.

Разработчики приложений, обменивающиеся кодами на GitHub, стали жертвами новой фишинговой кампании. Злоумышленники рассылают пользователям ресурса электронные письма, инфицирующие системы жертв модульным трояном Dimnie.

Первые жалобы на фишинговые письма стали появляться в конце января текущего года. Однако, как показало расследование экспертов, атаки начались несколькими неделями ранее. Троян Dimnie сложно назвать популярным, однако кампания с его использованием ничем не отличается от других подобных атак.

Сайт GeekedIn, специализирующийся на подборе ИТ-персонала, собрал данные о 8 млн пользователей GitHub и оставил их в открытом доступе в виде незащищенной базы данных MongoDB.

Известно, что копию базы уже скачала по крайней мере одна сторонняя компания, и сейчас данные, очевидно, продаются онлайн. В открытый доступ утекло около 8,2 email-адресов, привязанных к профилям GitHub, Bitbucket и, возможно, других сервисов. Кроме адресов электронной почты, скомпрометированы реальные имена и ники пользователей, сведения о местонахождении.

Исследователь информационной безопасности обнаружил две критические уязвимости в клиенте и серверной части Git. Воспользовавшись ими, злоумышленники могут осуществлять удаленное выполнение кода.

Для этого необходимо создать репозиторий с деревом файлов с очень длинными названиями, а затем отправить «пуш» на удаленный уязвимый сервер или позволить уязвимому клиенту осуществить «пулл». Две ошибки, приводящие к проблемам, содержатся в функции, которая используется для добавления имени файла к концу пути в дереве репозитория.

Крупнейший веб-сервис для хостинга и совместной разработки IT-проектов недавно подвергся DDoS-атаке. Эксперты по кибербезопасности точно определили, что нападение осуществлялось из Китая.

Оно было сделано с устройств пользователей, которые посетили китайский поисковик Baidu. В нападении присутствовал вектор, который наблюдался в предыдущих атаках, а также некоторые новые сложные методы. Эти новые методы использовали веб-браузеры ничего не подозревающих посторонних людей, устройства которых начинали задавливать сайт github.com высоким трафиком.