GitHub heeft zijn eigen privé-ssh-sleutel moeten vervangen, nadat het platform die per ongeluk in een openbare repository had gezet. Daardoor hebben veel gebruikers problemen met het correct verbinding leggen naar hun eigen repo's.
GitHub schrijft in een korte blogpost dat het de ssh-sleutel heeft vervangen. De sleutel, een RSA-key, werd gebruikt om versleutelde Git-verbindingen naar GitHub.com op te zetten. Door de key over te nemen, zou een aanvaller een verbinding met GitHub.com kunnen spoofen zodat gebruikers via Git bestanden zouden versturen richting een nepserver.
GitHub geeft weinig details over wat er precies is gebeurd. Het platform zegt dat de privésleutel 'een korte tijd' openbaar stond in een openbare GitHub-repo. Het is niet bekend welke repo dat was en hoe lang de sleutel daar zichtbaar was. GitHub zegt dat er 'geen reden is om aan te nemen dat de sleutel is misbruikt'. Inmiddels zou de sleutel zijn geroteerd. Het gaat alleen om de RSA ssh-sleutel. Ecdsa- of Ed25519-gebruikers hebben niet met de verandering te maken, omdat die sleutels niet openbaar stonden.
Gebruikers die een GitHub-repo hebben en die bijwerken via Git, moeten hun sleutels roteren en de fingerprint SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s
toevoegen aan hun hostfiles. Omdat GitHubs sleutel is geroteerd, krijgen ssh-gebruikers automatisch een waarschuwing als ze een verbinding leggen waarin staat dat de sleutel is veranderd. GitHub heeft instructies online gezet waarin staat hoe de known_hosts-file kan worden aangepast.