GitHub heeft in een blogpost bekendgemaakt dat ze de ssh-sleutel hebben vervangen. Deze sleutel, een soort digitale code genaamd RSA-key, wordt gebruikt om bestanden veilig te versturen tussen GitHub en gebruikers via het programma Git. Een hacker zou deze sleutel kunnen gebruiken om zich voor te doen als GitHub en zo toegang krijgen tot de bestanden die via Git worden verzonden.
GitHub geeft niet veel details over wat er precies is gebeurd, maar ze zeggen wel dat de privésleutel ‘een korte tijd’ openbaar stond in een openbare GitHub-repo.
Het is niet bekend welke repo dit was en hoelang de sleutel daar zichtbaar was. GitHub zegt dat er geen bewijs is dat de sleutel misbruikt is. Inmiddels heeft GitHub de sleutel vervangen. Dit heeft alleen invloed op de RSA ssh-sleutel en niet op de Ecdsa- of Ed25519-sleutels omdat deze niet openbaar stonden.
Gebruikers die een GitHub-repo hebben en die werken met Git, moeten hun sleutels vervangen en de fingerprint SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s toevoegen aan hun hostfiles. Hierdoor kan Git veilig verbinding maken met GitHub. Omdat GitHubs sleutel is vervangen, krijgen gebruikers automatisch een waarschuwing als ze een verbinding maken waarin staat dat de sleutel is veranderd. GitHub heeft instructies online gezet waarin staat hoe je de known_hosts-file kan aanpassen.