GitHub udostępnił przypadkiem swój klucz prywatny RSA w publicznym repozytorium na GitHubie

O problemie donosi sam GitHub:

This week, we discovered that GitHub.com’s RSA SSH private key was briefly exposed in a public GitHub repository.

Jak widać chodzi o klucz prywatny SSH, a GitHub precyzuje dalej co może być zagrożone (tj. dostęp klientów do GitHuba po SSH):

we replaced our RSA SSH host key used to secure Git operations for GitHub.com. We did this to protect our users from any chance of an adversary impersonating GitHub or eavesdropping on their Git operations over SSH. This key does not grant access to GitHub’s infrastructure or customer data. This change only impacts Git operations over SSH using RSA. Web traffic to GitHub.com and HTTPS Git operations are not affected.

W każdym razie gdybyście zobaczyli po połączeniu do GitHuba (z wykorzystaniem SSH) taki komunikat:

… to nie należy go ignorować, bo może rzeczywiście ktoś robi 'something nasty’, chociaż bardziej prawdopodobnie że natknęliście się na problem opisywany w tym newsie (GitHub zmienił klucz) – więcej szczegółów odnośnie postępowania w takiej sytuacji – tutaj.

GitHub zaznacza jednocześnie, że jak na razie nie ma dowodów aby ktoś wykorzystał wycieknięty klucz w niecnych celach.

~Michał Sajdak