GitHub har rapportert en hendelse der den private RSA-nøkkelen som ble brukt som vertsnøkkel ved tilgang til GitHub-depoter via SSH, ved en feiltakelse ble publisert til et offentlig tilgjengelig depot. Lekkasjen påvirket bare RSA-nøkkelen; verts-SSH-nøklene ECDSA og Ed25519 fortsetter å forbli sikre. En offentlig tilgjengelig SSH-vertsnøkkel tillater ikke tilgang til GitHub-infrastrukturen eller brukerdata, men kan brukes til å avskjære Git-operasjoner utført via SSH.
For å eliminere muligheten for avlytting av SSH-økter til GitHub hvis RSA-nøkkelen faller i hendene på angripere, har GitHub satt i gang en nøkkelerstatningsprosess. På brukersiden er det nødvendig å slette den gamle offentlige GitHub-nøkkelen (ssh-keygen -R github.com) eller manuelt erstatte nøkkelen i ~/.ssh/known_hosts-filen, som kan bryte automatisk utførte skript.
Kilde: opennet.ru