GitHub telah menyekat kunci SSH untuk pengguna klien Git yang menggunakan pustaka JavaScript pasangan kunci untuk menjana kunci. Sebagai contoh, kunci pelanggan Git GitKraken telah disekat. Kerentanan membawa kepada penjanaan kunci RSA yang boleh diramal disebabkan oleh ralat yang mengurangkan kualiti entropi dengan ketara apabila menjana urutan rawak untuk kunci. Isu ini telah dibetulkan dalam keluaran keypair 1.0.4 dan GitKraken 8.0.1.
Sebab kelemahan adalah penggunaan panggilan "b.putByte(String.fromCharCode(next & 0xFF))" semasa proses penjanaan kunci, walaupun pada hakikatnya kaedah fromCharCode dipanggil semula dalam kaedah putByte. Memanggil dariCharCode dua kali ("String.fromCharCode( String.fromCharCode(next & 0xFF)") menyebabkan kebanyakan penimbal entropi diisi dengan sifar, i.e. kunci dijana berdasarkan data "rawak", 97% terdiri daripada sifar.
Sumber: opennet.ru