Github, gizli bir GitHub deposunda yanlışlıkla yayınlandıktan sonra Github.com için özel SSH anahtarını döndürdü.
Yazılım geliştirme ve sürüm kontrol hizmeti, özel RSA anahtarının yalnızca "kısaca" maruz kaldığını, ancak "bol miktarda dikkatli bir şekilde" harekete geçtiğini söylüyor.
Bugün yayınlanan özlü bir blog yazısında Github, bu hafta GitHub.com için RSA SSH özel anahtarının halka açık bir GitHub deposunda geçici olarak maruz kaldığını keşfetti.
Github'un güvenlik görevlisi ve mühendislik SVP'si Mike Hanley, "Hemen maruziyeti içermek için hareket ettik ve temel neden ve etkiyi anlamak için araştırmaya başladık."
Diyerek şöyle devam etti: "Şimdi anahtar değişimini tamamladık ve kullanıcılar önümüzdeki otuz dakika içinde değişikliğin yayıldığını görecekler. Bazı kullanıcılar yeni anahtarın bu değişiklik için hazırlıklar sırasında 02:30 UTC civarında kısaca mevcut olduğunu fark etmiş olabilirler."
Keşfin zamanlaması ilginç - Github'ın tüm halka açık depolar için sır taramasından haftalar sonra.
Github.com'un en son genel anahtar parmak izleri aşağıda gösterilmiştir. Bunlar, GitHub'ın sunucularına SSH bağlantınızın gerçekten güvenli olduğunu doğrulamak için kullanılabilir.
Bazılarının fark edebileceği gibi, yalnızca Github.com'un RSA SSH anahtarı etkilenmiş ve değiştirilmiştir. ECDSA veya ED25519 kullanıcıları için herhangi bir değişiklik gerekmez.
SHA256: UNIVZTKSCSDHCC0U9E8BUJQXVUPKZIDTMCZCVJ3TD2S (RSA) SHA256: BR9IJFSPM1VXR3IA35FWE+4VTYZ1HYVLIE2T1/CEYWQ (DSA - Kullanımdan kaldırılmış) SHA256: P2QAMXNIC1TJYWEIOTTRVC98/R1BUFWU3/LiykGUFQM (ECDSA) SHA256:+DIY3WVVV6TUJJHBPZISF/ZLDA0ZPMSVHDKR4UVCOQU (ED25519)
Github, "Bu sorunun herhangi bir GitHub sisteminin veya müşteri bilgilerinin uzlaşmasının sonucu olmadığını lütfen unutmayın" diyor.
Diyerek şöyle devam etti: "Bunun yerine, maruziyet, özel bilgilerin yanlışlıkla bir yayınlanması olduğuna inandığımızın sonucuydu."
Bununla birlikte, blog yazısı, anahtarın tam olarak ne zaman maruz kaldığını ve ne kadar süreyle maruz kalma zaman çizelgesini biraz bulanık hale getirmediğini cevaplamıyor. Bu tür zaman damgaları tipik olarak güvenlik günlüklerinden tespit edilebilir - bunlar mevcut olmalı ve Git Taahhüt Geçmişi.
Github ayrıca, maruz kalan anahtarın istismar edildiğine "inanmak için hiçbir nedeni" olmadığını ve anahtarı "bol miktarda dikkatli bir şekilde" döndürdüğünü belirtiyor.
Ancak, sızdırıldıktan sonra özel bir anahtarı döndürmek, nasıl 'kısaca' ne olursa olsun, kullanıcıları sunucunuzu taklit edebilecek veya bir kullanıcının bağlantısına kulak misafiri olabilecek rakiplerden korumak için gerekli bir adımdır.
Hanley, söz konusu maruz kalan RSA anahtarı GitHub'ın altyapısına veya müşteri verilerine erişim sağlamaz.
"Bu değişiklik yalnızca RSA kullanarak SSH üzerindeki GIT işlemlerini etkiler. Github.com'a web trafiği ve HTTPS git işlemleri etkilenmez."
GitHub özel SSH anahtarlarını değiştirmiş olsa da, GitHub tarafından da dahil olmak üzere birden fazla doküman ve yazılım projesi, şimdi revoked anahtarının SSH parmak izini kullanmaya devam edin:
SHA256: NTHBG6KXUPJWGL7E1IGOCSPROMTXDCARLVIKW6E5SY8
Bu nedenle, kullanıcılar ~/.ssh/bilinen_hosts dosyalarını GitHub'ın yeni anahtar parmak izi ile güncellemelidir, aksi takdirde SSH bağlantıları yaparken güvenlik uyarıları görebilirler. Bu tür uyarıları alırken, kullanıcılar ekranlarında görülen parmak izinin Github.com'un en son anahtarıyla eşleşmesini sağlamalıdır.
Geçen yıl itibariyle, Github'ın güncel SSH ana bilgisayar anahtarları da API meta veri uç noktasına yayınlandı.
Github Gizli Tarama Uyarıları Artık tüm genel depolar için mevcut
Github Copilot Güncellemesi AI modelinin sırları açığa çıkarmasını durdurur
Android ve iOS sızdırılmış e -posta adresleri, işlemler için para aşığı
Openai: Açık kaynaklı hatanın neden olduğu chatgpt ödeme verileri sızıntısı
Lockbit Fidye Yazılımı Çetesi artık City of Oakland Breach'i de iddia ediyor
Kaynak: Bleeping Computer