感謝網友 卡了別叫 的線索投遞!
12 月 20 日消息,據微軟 GitHub 官博消息,GitHub 與騰訊微信達成合作,通過掃描訪問令牌,來幫助保護所有公共倉庫和私有倉庫的共同用戶。
GitHub 密鑰掃描會通過搜索存儲庫中的已知類型的密鑰來保護用戶。通過識別和標記這些密鑰,有助於防止數據泄露和欺詐。
騰訊微信令牌則允許用戶驗證微信公眾號和小程序開發者,獲取業務應用的敏感信息,並可用於驗證商家身份。
了解到,具體來說,GitHub 會將在公共倉庫中找到的訪問令牌轉發給微信,微信將通知受影響的用戶。微信鼓勵用戶刪除 GitHub 上泄露的 API token,並在微信支付商家平台或微信公眾號平台上創建新 token。
微信支付的密鑰包括:
APIv2 密鑰 (opens new window),用於 APIv2 所有接口。
商戶 API 證書 (opens new window) 對應的私鑰,用於 APIv2 的高安全級別接口和 APIv3 所有接口。
APIv3 密鑰 (opens new window),用於 APIv3 的微信支付平台證書下載接口以及回調通知。
如果以上密鑰在 GitHub 泄漏,可以根據鏈接中的文檔執行應急處理。
