GitHub roteert private ssh-key nadat het die per ongeluk openbaar maakte

[Captain Kirk]

Ontwikkelaarsplatform GitHub heeft de eigen private ssh-key geroteerd nadat het die per ongeluk via GitHub.com openbaar maakte. Dit moet voorkomen dat een aanvaller zich als GitHub kan voordoen of Git-operaties via ssh kan afluisteren, zo laat het populaire ontwikkelaarsplatform in een blogposting weten. Deze week ontdekte GitHub dat de RSA SSH private key voor GitHub.com tijdelijk via een publieke GitHub- repository toegankelijk was.

Hierop werd een onderzoek ingesteld. Volgens GitHub is het lekken van de sleutel veroorzaakt door het onbedoeld publiceren van private informatie. Verdere details zijn niet gegeven, behalve dat er volgens GitHub geen aanwijzingen zijn dat er misbruik van de key is gemaakt. Toch is uit voorzorg besloten de key, die wordt gebruikt voor het beveiligen van Git-operaties op GitHub.com, te roteren.

De key geeft geen toegang tot de infrastructuur van GitHub, dat door tal van softwareontwikkelaars en organisaties wordt gebruikt voor het ontwikkelen van software, of gegevens van klanten. "De aanpassing raakt alleen Git-operaties over ssh waarbij van RSA gebruik wordt gemaakt", aldus een verklaring. Vanwege de vervangen key kunnen gebruikers die via ssh verbinding met GitHub.com maken een melding te zien krijgen. In dit geval moeten ze de oude key vervangen en de nieuwe key toevoegen.

 

bron: https://www.security.nl