Güvenlik araştırmacıları GitHub‘ın dosya yüklenebilen yorum sisteminde bilgisayar korsanlarının kötü amaçlı yazılım yaymak için kullandığı bir güvenlik açığı tespit etti. Sistem şu şekilde çalışıyor: Bir kullanıcı bir GitHub yorumuna bir dosya yüklediğinde (yorumun kendisi hiç gönderilmemiş olsa bile), otomatik olarak bir indirme bağlantısı oluşturuluyor. Bu bağlantı, deponun ve sahibinin adını içeriyor ve potansiyel olarak kurbanları, güvenilir kaynak bağlantısı nedeniyle dosyanın yasal olduğunu düşünmelerini sağlıyor.
Teknik uzmanlık gerektirmiyor
Örneğin, bilgisayar korsanları kötü amaçlı yazılımı rastgele bir depoya yükleyebiliyor ve indirme bağlantısını da Microsoft gibi tanınmış bir geliştiriciden veya şirketten geliyor gibi gösterebiliyorlar. Bu güvenlik açığı herhangi bir teknik uzmanlık gerektirmezken; sadece bir yoruma kötü amaçlı bir dosya yüklemek yeterli.
Ne yazık ki şu anda geliştiricilerin bu kötüye kullanımı engellemeleri için yorumları tamamen devre dışı bırakmaktan başka bir yol yok, bu da projelerin işbirliğini engelliyor. GitHub, raporlarda tespit edilen bazı kötü amaçlı yazılımları kaldırmış olsa da, temel güvenlik açığı hala yamalanmadı ve bir düzeltmenin uygulanıp uygulanmayacağı veya ne zaman uygulanacağı belli değil. 
