GitHub on raportoinut tapauksesta, jossa yksityinen RSA-avain, jota käytettiin isäntäavaimena käytettäessä GitHub-tietovarastoja SSH:n kautta, julkaistiin vahingossa julkisesti käytettävään arkistoon. Vuoto vaikutti vain RSA-avaimeen; isäntä-SSH-avaimet ECDSA ja Ed25519 ovat edelleen turvassa. Julkisesti saatavilla oleva SSH-isäntäavain ei salli pääsyä GitHub-infrastruktuuriin tai käyttäjätietoihin, mutta sitä voidaan käyttää SSH:n kautta suoritettujen Git-toimintojen sieppaamiseen.
GitHub on käynnistänyt avaimen vaihtoprosessin estääkseen SSH-istuntojen sieppaamisen GitHubille, jos RSA-avain joutuu hyökkääjien käsiin. Käyttäjän puolella on tarpeen poistaa vanha GitHubin julkinen avain (ssh-keygen -R github.com) tai korvata avain manuaalisesti ~/.ssh/known_hosts-tiedostossa, mikä voi rikkoa automaattisesti suoritetut komentosarjat.
Lähde: opennet.ru