@astrr @SergoZar @bano теоретически - в том, что получив доступ к аккаунту на публичном сервисе, злоумышленник может добавить свой ключ и в список публичных тоже получить доступ на серверы. При условии, что список людей периодически перекачивается (а особенно если это автоматизировано).

Риск несколько снижается, если подключена двухфакторная авторизация. Однако я бы перед тем как использовать такую штуку еще прочитал в документации к API какой скоуп нужен для управления ключами и провёл ревизию авторизованных через oauth приложений на предмет того, у каких из них есть достаточный скоуп, и что с этим всем делать. А то недавно была статья о том, что человек авторизовался через github-овый oauth на сомнительном сайте, а приложение помимо всего прочего запросило достаточно прав чтобы выставлять от имени пользователя звёздочки проектам, ну а сомнительный сайт этим пользовался с аккаунтов всех кто там авторизовался накручивал лайки. Пользователь узнал об этом из-за того, что словил бан за накрутку.