قالت خدمة استضافة المستودعات المستندة إلى السحابة GitHub إنها اتخذت خطوة لاستبدال مفتاح مضيف RSA SSH المستخدم لتأمين عمليات Git "بدافع الحذر الشديد" بعد أن تم الكشف عنها لفترة وجيزة في مستودع عام.
يقال إن النشاط ، الذي تم تنفيذه في الساعة 05:00 بالتوقيت العالمي المنسق في 24 مارس 2023 ، قد تم إجراؤه كإجراء لمنع أي جهة فاعلة سيئة من انتحال صفة الخدمة أو التنصت على عمليات المستخدمين عبر SSH.
قال مايك هانلي ، كبير مسؤولي الأمن ونائب الرئيس الأول للهندسة في GitHub ، في منشور: "هذا المفتاح لا يمنح الوصول إلى البنية التحتية لشركة GitHub أو بيانات العملاء" . "يؤثر هذا التغيير فقط على عمليات Git عبر SSH باستخدام RSA."
لا تؤثر هذه الخطوة على حركة مرور الويب إلى GitHub.com وعمليات Git التي يتم إجراؤها عبر HTTPS. لا يلزم إجراء أي تغيير لمستخدمي ECDSA أو Ed25519.
قالت الشركة المملوكة لشركة Microsoft إنه لا يوجد دليل على أن الخصوم قد استغلوا مفتاح SSH الخاص المكشوف. ولم تكشف عن مدة الكشف عن السر.
وشددت كذلك على أن "المشكلة لم تكن نتيجة حل وسط لأي من أنظمة GitHub أو معلومات العملاء". وألقت باللوم في ذلك على "النشر غير المقصود لمعلومات خاصة".
لاحظ أيضًا أن GitHub Actions قد يرى المستخدمون عمليات تشغيل سير عمل فاشلة إذا كانوا يستخدمون الإجراءات / الخروج مع خيار ssh-key ، مضيفًا أنه في عملية تحديث الإجراء عبر جميع العلامات.
يأتي هذا الكشف بعد ما يقرب من شهرين من كشف GitHub أن جهات تهديد غير معروفة تمكنت من اختراق شهادات توقيع التعليمات البرمجية المشفرة المتعلقة ببعض إصدارات GitHub Desktop لتطبيقات Mac و Atom.