La plataforma de alojamiento de código propiedad de Microsoft, GitHub, dijo que reemplazó la clave privada RSA SSH utilizada para asegurar las operaciones de Git para GitHub.com.
La clave, dijo la plataforma, se expuso brevemente en un repositorio público de GitHub y no se filtró luego de un compromiso de GitHub. Ninguna información del cliente se vio afectada, dice la compañía.
Según la plataforma de colaboración de software, la clave podría haberse utilizado para hacerse pasar por GitHub o escuchar a escondidas las operaciones de Git de los clientes a través de SSH.
“Esta clave no otorga acceso a la infraestructura de GitHub ni a los datos de los clientes”, dijo GitHub en un anuncio el viernes .
Con solo la clave RSA SSH de GitHub.com reemplazada, no se requiere ninguna acción por parte de los usuarios de ECDSA y Ed25519. La filtración tampoco afectó el tráfico web a GitHub.com o las operaciones HTTPS Git.
La plataforma también proporcionó instrucciones sobre cómo los clientes pueden eliminar manualmente la clave anterior y agregar la nueva clave pública RSA SSH. Es posible que los usuarios de GitHub Actions también deban tomar medidas.
“Ya hemos completado el reemplazo de la clave y los usuarios verán que el cambio se propaga durante los próximos treinta minutos. Es posible que algunos usuarios hayan notado que la nueva clave estuvo presente brevemente a partir de las 02:30 UTC durante los preparativos para este cambio”, dijo GitHub el viernes.
