Το GitHub ανέφερε ένα περιστατικό στο οποίο το ιδιωτικό κλειδί RSA που χρησιμοποιήθηκε ως κλειδί κεντρικού υπολογιστή κατά την πρόσβαση στα αποθετήρια GitHub μέσω SSH δημοσιεύτηκε κατά λάθος σε ένα δημόσιο αποθετήριο. Η διαρροή επηρέασε μόνο το κλειδί RSA, τα κλειδιά SSH κεντρικού υπολογιστή ECDSA και Ed25519 εξακολουθούν να είναι ασφαλή. Ένα κλειδί SSH που εκτίθεται δημόσια δεν επιτρέπει την πρόσβαση στην υποδομή GitHub ή στα δεδομένα χρήστη, αλλά μπορεί να χρησιμοποιηθεί για την υποκλοπή λειτουργιών Git που εκτελούνται μέσω SSH.
Για να αποφευχθεί η πιθανή παραβίαση περιόδων σύνδεσης SSH στο GitHub, εάν το κλειδί RSA πέσει σε λάθος χέρια, το GitHub έχει ξεκινήσει μια διαδικασία αντικατάστασης κλειδιού. Από την πλευρά του χρήστη, απαιτείται διαγραφή του παλιού δημόσιου κλειδιού GitHub (ssh-keygen -R github.com) ή μη αυτόματη αντικατάσταση του κλειδιού στο αρχείο ~/.ssh/known_hosts, το οποίο μπορεί να σπάσει τα σενάρια που εκτελούνται αυτόματα.
Πηγή: opennet.ru