Bir Microsoft yan kuruluşu olan GitHub, birisi yanlışlıkla şifreleme düzeninin özel RSA SSH ana bilgisayar anahtarı bölümünü açık bir GitHub deposunda yayınladıktan sonra SSH anahtarlarını değiştirdi.
Bazıları, özel anahtarların bir tehdit aktörünün kötü niyeti nedeniyle açığa çıktığını varsayarak alarma geçebilirken, gerçekte bu, insan hatası nedeniyle meydana geldi. SSH anahtarlarının özel ve genel sürümleri vardır ve genel anahtarlar paylaşılabilse veya yayınlanabilse de, özel anahtarların özel tutulması önemlidir… eh, özel. GitHub, anahtarları kimin yayınladığını veya nerede yayınlandıklarını açıklamasa da, yöneticiler durumu açıklayan bloglarında yayınladılar.
“Bu hafta, GitHub.com’un RSA SSH özel anahtarının halka açık bir GitHub deposunda kısa süreliğine açığa çıktığını keşfettik. Açığa çıkmayı kontrol altına almak için hemen harekete geçtik ve temel nedeni ve etkiyi anlamak için araştırmaya başladık. Şimdi anahtar değiştirmeyi tamamladık ve GitHub, blog gönderisinde “kullanıcılar değişikliğin önümüzdeki otuz dakika içinde yayıldığını görecek” dedi.
GitHub, kullanıcılarını bir rakibin özel anahtarı görmüş olma olasılığından korumak için RSA SSH ana bilgisayar anahtarını değiştirdi. Tehdit aktörleri, kullanıcıların operasyonlarını izlemek veya sonraki saldırılar için GitHub’ı taklit etmek için kullanabilir.
Blog yazısı, değişikliğin herhangi bir müşteri verisini etkilemediğini, ECDSA veya Ed25519 veya GitHub altyapısı için değişiklik gerektirmediğini açıkladı – yalnızca “RSA kullanarak SSH üzerinden” işlemler.
Kullanıcılar bir uyarı mesajı görürlerse, üç seçenekle eski anahtarları kaldırmaları gerekir: eski girişi kaldırmak için dosyayı el ile güncelleme; GitHub’ın blogunda listelediği yeni bir komutu çalıştırma; veya açıksa otomatik güncellemeler aracılığıyla. Kullanıcılar “SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s” yazan parmak izini gördüklerinde, ana bilgisayarlarının yeni RSA SSH anahtarına bağlı olduğunu doğrulamış olacaklardır.