GitHub zgłosił incydent, w którym klucz prywatny RSA używany jako klucz hosta podczas uzyskiwania dostępu do repozytoriów GitHub przez SSH został omyłkowo opublikowany w publicznie dostępnym repozytorium. Wyciek dotyczył tylko klucza RSA, klucze SSH hosta ECDSA i Ed25519 nadal są bezpieczne. Publicznie udostępniony klucz SSH hosta nie umożliwia dostępu do infrastruktury GitHub ani danych użytkownika, ale może służyć do przechwytywania operacji Git wykonywanych przez SSH.
Aby zapobiec możliwemu przejęciu sesji SSH do GitHub, jeśli klucz RSA dostanie się w niepowołane ręce, GitHub zainicjował proces wymiany klucza. Po stronie użytkownika wymagane jest usunięcie starego klucza publicznego GitHub (ssh-keygen -R github.com) lub ręczna wymiana klucza w pliku ~/.ssh/known_hosts, co może uszkodzić automatycznie wykonywane skrypty.
Źródło: opennet.ru