GitHub, bilgisayar korsanlarının yazılım tedarik zincirine müdahale etmesini engellemek için 13 Mart’tan itibaren kullanıcıları iki faktörlü kimlik doğrulama (2FA) kullanmaya zorlayacak. Bu zorunluluk ilk olarak küçük kullanıcı gruplarına uygulanacak. Ardından GitHub, yıl ilerledikçe zorunluluğu daha fazla kişiye yayacak. Amaç, 2023 yılı sona ermeden önce 2FA gerekliliğini tüm kullanıcılar için zorunlu hale getirmek. Şirket Perşembe günü bir blog yazısında “Hesabınız kayıt için seçilirse, e-posta yoluyla bilgilendirileceksiniz ve GitHub.com’da kaydolmanızı isteyen bir banner göreceksiniz” diye yazdı. “Hesabınızda 2FA’yı yapılandırmak için 45 gününüz olacak; bu tarihten önce hatırlatmalar dışında GitHub’ı kullanma konusunda hiçbir şey değişmeyecek.” GitHub 2FA zorunluluğunu ilk olarak geçen yıl duyurmuş ve bilgisayar korsanlarının yazılım tedarik zincirini vurma tehdidini gerekçe göstermişti. Microsoft’un sahip olduğu GitHub, geliştiricilerin açık kaynaklı yazılım projelerini yayınlayıp katkıda bulunabildikleri ve bunları kendi ürünlerine entegre edebildikleri bir kod deposu platformu olarak biliniyor.
GitHub o zamandan beri dünya genelinde 100 milyondan fazla geliştiricinin ilgisini çekmiştir. Ancak platform kötüye kullanım için olgun bir hedef. Örneğin, bir bilgisayar korsanı GitHub’daki popüler bir kodlama projesini kurcalayabilir ve bir bilgisayara gizlice kötü amaçlı yazılım yüklemesine neden olabilir. Yazılım geliştiriciler daha sonra bu zararlı kodu kendi ürünlerine dahil ederek istemeden de olsa yayılmasına neden olabilir. Buna ek olarak, bir bilgisayar korsanı GitHub geliştiricisinin hesabına girerek özel bir yazılımın kodunu çalabilir. GitHub’ın baş güvenlik sorumlusu Mike Hanley Mayıs ayında şöyle yazmıştı: “Geliştirici hesapları sosyal mühendislik ve hesap ele geçirme için sık sık hedef olmaktadır. Geliştiricileri bu tür saldırılardan korumak, tedarik zincirinin güvenliğini sağlamaya yönelik ilk ve en kritik adımdır.” 2FA (diğer adıyla çok faktörlü kimlik doğrulama), bir hesapta oturum açan herkesi hem doğru şifreyi hem de orijinal hesap sahibinin telefonunda oluşturulan tek seferlik bir şifreyi sağlamaya zorladığı için bilgisayar korsanlarını engelleyebilir. Bu, bir saldırganın içeri girmesini zorlaştırabilir, ancak imkansız hale getirmez.
2FA’yı 13 Mart’tan önce etkinleştirmek isteyen GitHub kullanıcıları hesap ayarlarına gidebilirler. Platform, bir kimlik doğrulayıcı uygulaması, bir güvenlik anahtarı ve SMS yoluyla 2FA sunuyor. GitHub kullanıcıların, SMS seçeneğini bırakmalarını şiddetle tavsiye ediyor. Yıllar içinde bilgisayar korsanları, kurbanın telefon numarasına SIM değiştirme saldırıları gerçekleştirerek SMS üzerinden oluşturulan tek seferlik şifreyi çalabileceklerini gösterdiler. Bunu yapmak, bir bilgisayar korsanının cihaza gönderilen telefon aramalarını ve SMS mesajlarını engellemesine izin verebilir. Yine de GitHub, hesaplarının kilitlenmesinden endişe eden kullanıcılar için SMS tabanlı 2FA’yı bir seçenek olarak tutmaya karar verdi. Platform şunları ekledi: “Artık hesabınızda aynı anda hem bir kimlik doğrulama uygulaması (TOTP) hem de bir SMS numarası kayıtlı olabilir. SMS üzerinden güvenlik anahtarlarını ve TOTP uygulamanızı kullanmanızı tavsiye etsek de, her ikisine de aynı anda izin vermek, geliştiricilerin etkinleştirebileceği başka bir erişilebilir, anlaşılabilir 2FA seçeneği sunarak, hesap kilitlenmesini azaltmaya yardımcı olur.”
