Hace poco se dio a conocer la noticia de que los códigos fuentes de .com y GitHub Enterprise fueron filtrados en el repositorio github/dmca donde se publican las infracciones de la DMCA.

Las fuentes se publicaron el 4 de noviembre a las 3:51 UTC (6:51 MSK) con el siguiente mensaje: “Me sentí lindo, podría poner el código fuente de gh en el repositorio dmca ahora idk”. Los datos se publican con referencia al nombre de usuario nat, que se superpone con la cuenta de Nat Friedman, jefe de GitHub.

Los cambios agregados ya se eliminaron, pero permanecen en el archivo.

El código probablemente estaba vinculado al repositorio oficial de github/dmca mediante una técnica que permite que cualquier cambio de terceros se presente como un cambio ya incluido en otro proyecto.

GitHub mantiene todos los objetos del repositorio principal y se bifurca juntos para optimizar y eliminar duplicados, separando lógicamente la propiedad de las confirmaciones.

Dicho almacenamiento permite ver cualquier confirmación de cualquier bifurcación en el repositorio principal especificando explícitamente su hash en la URL.

Por ejemplo, un usuario puede crear una bifurcación del repositorio github/dmca y agregarle cualquier código, después de lo cual este código estará disponible a través de un enlace hash directo en el repositorio github/dmca.

El código supuestamente alojado es una copia del código fuente extraído de la imagen de la máquina virtual con GitHub Enterprise, una versión de GitHub para empresas que permite implementar un entorno de desarrollo colaborativo dentro de una red corporativa en equipos controlados.

Recordemos que en mayo apareció información en la red sobre un intento de vender contenido desconocido de los repositorios privados GitHub de Microsoft. La persona no identificada declaró que pudo descargar alrededor de 500 GB de datos de los repositorios privados de Microsoft alojados en GitHub y proporcionó capturas de pantalla y 1 GB de datos como evidencia.

La mayoría de los analistas encontraron que la evidencia no era concluyente, ya que las capturas de pantalla eran fáciles de falsificar y los datos contenían algún tipo de conjunto de archivos sin sentido con texto, pruebas y fragmentos de código en chino.

Uno de los ingenieros de Microsoft en un comentario declaró que la filtración probablemente sea falsa, ya que Microsoft tiene una regla según la cual los proyectos se colocan en repositorios privados en GitHub, que deben hacerse públicos dentro de los 30 días.

Fuente: https://web.archive.org/