توسعهدهندهای با نام کاربری Resynth1943 که خودش را یکی از فعالان حوزهی حریم خصوصی معرفی میکند، چند شب پیش، اعلام کرد کد منبع (Source Code) گیت هاب در داخل مخزن قانون کپیرایت هزارهی ديجيتال (DMCA) خود این پلتفرم فاش شده است. بررسی ابعاد این موضوع به تحلیل نیاز دارد؛ اما نکتهای که همین ابتدا باید بدانید، این است که فاششدن کد منبع گیت هاب آنطور که ممکن است در نگاه اول بهنظر برسد، فاجعهبار نیست.
زمان زیادی از مطرحشدن ادعاهای Resynth1943 در وبسایت هکر نیوز نگذشته بود که نت فرایدمن، مدیرعامل گیت هاب، در هکر نیوز حاضر شد تا جزئیاتی دربارهی فاششدن کد منبع گیت هاب در خودِ گیت هاب ارائه دهد. براساس گفتههای فرایدمن، کد منبعِ فاششده به سرور سازمانی گیت هاب (GitHub Enterprise Server) متعلق بوده است، نه وبسایت گیت هاب. سرور سازمانی گیت هاب و وبسایت رسمی این پلتفرم کدهای مشترک فراوانی دارند؛ اما تفاوتهایی درخورتوجه با یکدیگر دارند. همین تفاوت در کد باعث شده است جملهی «گیت هاب هک شد» جملهای غلط باشد.
در نظر داشته باشید که گیت هاب و سرور سازمانی گیت هاب متنباز (Open Source) نیستند؛ بااینحال کد منبع سرور سازمانی گیت هاب معمولا برای مشتریان ارسال میشود؛ البته بهطور مبهم. نکتهی مهم دیگر این است که نسخهی کامل کد منبع سرور سازمانی گیت هاب برای مشتریان ارسال نمیشود. نت فرایدمن گفت گیت هاب بهصورت تصادفی نسخهی کامل و غیرمبهم سرور سازمانی گیت هاب را چند ماه پیش برای تعدادی از مشتریان ارسال کرد. این همان کدی است که چند شب پیش در داخل مخزن DMCA گیت هاب منتشر شد.
بهنظر میرسد Resynth1943 که فعلا هویتش برایمان نامعلوم است، با گیت هاب خصومت دارد؛ بههمیندلیل، از روی عصبانیت خبر هکشدن این پلتفرم را در رسانهها منتشر کرده است. کد فاششده درون مخزن DMCA گیت هاب منتشر شد؛ مخزنی که بهعنوان تاریخچهای برای درخواست حذف کدها براساس قوانین کپیرایت فعالیت میکند. Resynth1943 ضمن اشاره به هکشدن گیت هاب، از مایکروسافت بهدلیل بازنکردن منبع گیت هاب انتقاد کرد.
در مخزنی که کد فاش شد، گفته شده بود کامیت (Commit) فاشکنندهی کد را Nat (نت فرایدمن، مدیرعامل گیت هاب) ایجاد کرده است. همچون محتویات خود کامیت، این ادعا نیز نادرست است. گیت (Git) کد منبعی است که سیستم گیت هاب برپایهی آن ساخته شده و دربرابر جعلشدن هویت کاربران امنیت زیادی ندارد. کامیتی که کد در آن فاش شده بود، برچسب «تأییدشده» نداشت و همین موضوع نشان میدهد که نت فرایدمن ایجادکنندهی آن کامیت نبوده است.
کامیتهای گیت همچون پیغامهایی که در ایمیل ردوبدل میکنید، به کاربران امکان میدهد اطلاعات دلخواهشان را در بخشهای user.name و user.email وارد کنند و همین موضوع جعلکردن هویت را ساده میکند. البته تنها به کامیتهایی برچسب «تأییدشده» داده میشود که حسابهای کاربری رسمی با کلید مجازی GPG ایجاد کنند.
سؤالی که مطرح میشود، این است: کامیتِ ایجادشدهی کاربران عادی چگونه از مخزن DMCA گیت هاب سر در میآورد؟ تحلیلگران میگویند فرد سودجو بهمنظور ایجاد این تصور که کامیت فاشکنندهی کد گیت هاب را نت فرایدمن ساخته است، در ابتدا مجبور بوده نسخهای کاملا مشابه از مخزن DMCA بسازد. در مرحلهی بعد، تنها کاری که باید انجام میشد، قراردادن کد در کامیت و واردکردن نام فرایدمن در بخشهای user.name و user.email بود.
در نظر داشته باشید که گیت هاب هک نشده است؛ اما متخصصان امنیت میگویند که این پلتفرم ازلحاظ امنیتی جای پیشرفت زیادی دارد. در این حادثه، کد سرور سازمانی گیت هاب آگاهانه وهرچند تصادفی برای مشتریان ارسال شد و نکتهی مهمتر این است که کسی به حساب شخصی نت فرایدمن دسترسی پیدا نکرد.