Github expõe sua própria chave SSH RSA mas substitui rapidamente

Github RSA

O serviço de hospedagem de repositório baseado em nuvem GitHub disse que tomou a decisão de substituir sua chave de host RSA SSH usada para proteger as operações do Git “com muita cautela” depois de ter sido exposta brevemente em um repositório público.

A atividade, que foi realizada às 05:00 UTC de 24 de março de 2023, teria sido realizada como uma medida para impedir que qualquer ator mal-intencionado se passasse pelo serviço ou espionasse as operações dos usuários por SSH.

“Esta chave não concede acesso à infraestrutura do GitHub ou aos dados do cliente”, disse Mike Hanley, diretor de segurança e vice-presidente sênior de engenharia do GitHub, em um post. “Essa mudança afeta apenas as operações do Git sobre SSH usando RSA.”

A mudança não afeta o tráfego da Web para o GitHub.com e as operações do Git realizadas via HTTPS. Nenhuma alteração é necessária para usuários de ECDSA ou Ed25519.

A empresa de propriedade da Microsoft disse que não há evidências de que a chave privada SSH exposta tenha sido explorada por adversários. Não revelou quanto tempo o segredo foi exposto.

Ele enfatizou ainda que o “problema não foi resultado de um comprometimento de nenhum sistema do GitHub ou informações do cliente”. Ele culpou uma “publicação inadvertida de informações privadas”.

Ele também observou que os usuários do GitHub Actions podem ver execuções de fluxo de trabalho com falha se estiverem usando ações/checkout com a opção ssh-key, acrescentando que está no processo de atualizar a ação em todas as tags.

A divulgação ocorre quase dois meses depois que o GitHub revelou que agentes de ameaças desconhecidos conseguiram exfiltrar certificados de assinatura de código criptografados pertencentes a algumas versões do GitHub Desktop para aplicativos Mac e Atom.