GitHub telah merotasi kunci SSH pribadinya untuk GitHub.com setelah rahasia tersebut secara tidak sengaja dipublikasikan di repositori GitHub publik.
Layanan pengembangan perangkat lunak dan kontrol versi mengatakan, kunci RSA pribadi hanya “diekspos secara singkat”, tetapi mengambil tindakan karena “kehati-hatian yang melimpah”.
Dalam posting blog singkat yang diterbitkan hari ini, GitHub mengakui menemukan minggu ini bahwa RSA SSH private key untuk GitHub.com telah diekspos secara singkat di repositori GitHub publik.
“Kami segera bertindak untuk menahan paparan dan mulai menyelidiki untuk memahami akar penyebab dan dampaknya,” tulis Mike Hanley, Chief Security Officer dan SVP of Engineering GitHub.
“Kami sekarang telah menyelesaikan penggantian kunci, dan pengguna akan melihat perubahan menyebar selama tiga puluh menit berikutnya. Beberapa pengguna mungkin telah memperhatikan bahwa kunci baru hadir secara singkat mulai sekitar pukul 02:30 UTC selama persiapan untuk perubahan ini.”
Waktu penemuannya menarik—hanya beberapa minggu setelah GitHub meluncurkan pemindaian rahasia untuk semua repo publik.
Sidik jari kunci publik terbaru GitHub.com ditunjukkan di bawah ini. Ini dapat digunakan untuk memvalidasi bahwa koneksi SSH Anda ke server GitHub memang aman.
Seperti yang mungkin diketahui beberapa orang, hanya kunci RSA SSH GitHub.com yang terpengaruh dan diganti. Tidak diperlukan perubahan untuk pengguna ECDSA atau Ed25519.
Selengkapnya: Bleeping Computer
