В сеть утекли исходные коды GitHub и GitHub Enterprise

Вероятно, код был присоединён к официальному репозиторию github/dmca при помощи техники, позволяющей представить любое стороннее изменение как уже включённое в другой проект. GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, логически разделяя принадлежность коммитов. Это позволяет просмотреть в основном репозитории любой коммит из любого форка, указав его хэш в URL. Например, можно создать форк github/dmca и добавить в него любой код, и этот код станет доступен по прямой хэш-ссылке в репозитории github/dmca.

Размещённый код является копией исходных текстов, извлечённых из образа виртуальной машины с GitHub Еnterprise, вариантом GitHub для предприятий, позволяющем развернуть окружение для совместной разработки внутри корпоративной сети.

Нэт Фридман подтвердил, что опубликованный код получен не в результате взлома, а извлечён из образа с GitHub Enterprise. По словам Фридмэна, несколько месяцев назад по ошибке некоторым клиентам был передан образ GitHub Enterprise, содержащий tar-архив с необфусцированными и неочищенными (с файлами конфигурации, docker-файлами и сборочными сценариями) исходными текстами GitHub Enterprise Server (код поставлялся и до этого, но в урезанном и нечитаемом виде). GitHub Enterprise имеет общую кодовую базу с github.com. Коммит от имени Фридман фиктивный и не был подписан: подписанные коммиты снабжаются меткой «verified», а через неподписанные любой может легко выдать себя за другого в своей локальной копии Git и затем загрузить новый репозиторий на GitHub.