GitHub ha segnalato un incidente in cui la chiave privata RSA utilizzata come chiave host durante l'accesso ai repository GitHub tramite SSH è stata erroneamente pubblicata su un repository accessibile pubblicamente. La perdita ha interessato solo la chiave RSA; le chiavi SSH dell'host ECDSA e Ed25519 continuano a rimanere sicure. Una chiave host SSH disponibile pubblicamente non consente l'accesso all'infrastruttura GitHub o ai dati dell'utente, ma può essere utilizzata per intercettare le operazioni Git eseguite tramite SSH.
Per eliminare la possibilità di intercettazione delle sessioni SSH su GitHub se la chiave RSA cade nelle mani di aggressori, GitHub ha avviato un processo di sostituzione della chiave. Dal lato utente, è necessario eliminare la vecchia chiave pubblica GitHub (ssh-keygen -R github.com) o sostituire manualmente la chiave nel file ~/.ssh/known_hosts, che può interrompere gli script eseguiti automaticamente.
Fonte: opennet.ru