GitHub ziņoja par incidentu, kurā RSA privātā atslēga, kas tika izmantota kā resursdatora atslēga, piekļūstot GitHub krātuvēm, izmantojot SSH, tika kļūdaini publicēta publiski pieejamā repozitorijā. Noplūde skāra tikai RSA atslēgu, ECDSA un Ed25519 resursdatora SSH atslēgas joprojām ir drošas. Publiski atklāta saimniekdatora SSH atslēga neļauj piekļūt GitHub infrastruktūrai vai lietotāja datiem, taču to var izmantot, lai pārtvertu Git darbības, kas tiek veiktas, izmantojot SSH.
Lai novērstu iespējamu SSH sesiju nolaupīšanu pakalpojumā GitHub, ja RSA atslēga nonāk nepareizās rokās, GitHub ir uzsācis atslēgas nomaiņas procesu. No lietotāja puses ir jādzēš vecā GitHub publiskā atslēga (ssh-keygen -R github.com) vai manuāli jāaizstāj atslēga failā ~/.ssh/known_hosts, kas var sabojāt automātiski izpildītos skriptus.
Avots: opennet.ru