ABD Siber Güvenlik Ajansı CISA’nın Sızdırdığı Veriler Kongre’yi Harekete Geçirdi: İçeriden Sızıntı ve Güvenlik Zaafiyeti Siber Güvenlik

ABD Siber Güvenlik Ajansı CISA’nın Sızdırdığı Veriler Kongre’yi Harekete Geçirdi: İçeriden Sızıntı ve Güvenlik Zaafiyeti

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bir yüklenicisinin AWS GovCloud anahtarlarını GitHub’da yayınlamasıyla büyük bir veri sızıntısı

ABD Kongresi’nin her iki kanadından da gelen talepler, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nı (CISA) ciddi bir veri sızıntısıyla ilgili sorulara yanıt vermeye zorluyor. KrebsOnSecurity’nin bu hafta yayımladığı habere göre, CISA yüklenicisi, ajansın AWS GovCloud anahtarlarını ve çok sayıda gizli bilgiyi kasıtlı olarak halka açık bir GitHub hesabında yayınladı. Sızıntı, CISA’nın hâlâ sızıntıyı kontrol altına almaya ve sızdırılan kimlik bilgilerini geçersiz kılmaya çalıştığı bir dönemde meydana geldi.

18 Mayıs’ta KrebsOnSecurity’nin raporuna göre, CISA’nın kod geliştirme platformuna yönetici erişimi olan bir yüklenici, ‘Private-CISA’ adlı bir GitHub profili oluşturdu. Bu profil, ajansın düzinelerce iç sistemine düz metin halinde kimlik bilgileri içeriyordu. Sızdırılan gizli bilgileri inceleyen uzmanlar, kod deposunun commit kayıtlarında, yüklenicinin GitHub’ın hassas kimlik bilgilerini herkese açık depolarda yayınlamaya karşı yerleşik korumasını devre dışı bıraktığını tespit etti.

CISA sızıntıyı kabul etmesine rağmen, verilerin ne kadar süreyle açıkta kaldığına dair sorulara yanıt vermedi. Ancak şu anda kapalı olan Private-CISA arşivini inceleyen uzmanlar, deponun Kasım 2025’te oluşturulduğunu ve bireysel bir operatörün bu depoyu düzenli bir proje deposu yerine çalışma notu veya senkronizasyon aracı olarak kullandığına dair bir desen sergilediğini belirtti.

CISA yazılı bir açıklamada ‘olay sonucunda hassas verilerin tehlikeye girdiğine dair herhangi bir belirti olmadığını’ söyledi. Ancak Senatör Maggie Hassan (D-NH), CISA’nın Geçici Direktörü Nick Andersen’e gönderdiği 19 Mayıs tarihli mektubunda, kimlik bilgisi sızıntısının, siber ihlalleri önlemekle görevli ajansın kendisinde bu tür bir güvenlik kusurunun nasıl meydana gelebileceğine dair ciddi soruları gündeme getirdiğini belirtti. Hassan, ‘Bu rapor, kritik altyapıya yönelik önemli siber tehditlerin olduğu bir dönemde CISA’nın iç politika ve prosedürleri konusunda ciddi endişeler yaratıyor’ dedi.

Sistem Güvenliği

Temsilci Bennie Thompson (D-MS), Temsilciler Meclisi İç Güvenlik Komitesi’nin üst düzey üyesi, senatörün endişelerini yineledi. Thompson, 19 Mayıs’ta CISA geçici başkanına gönderdiği ve Temsilci Delia Ramirez (D-Ill) tarafından da imzalanan mektubunda, ‘Bu olayın, zayıflamış bir güvenlik kültürünü ve/veya CISA’nın sözleşmeli desteğini yeterince yönetememesini yansıttığından endişeliyiz. Düşmanlarımızın federal ağlara erişim sağlamaya ve kalıcı olmaya çalıştığı bir sır değil. ‘Private-CISA’ deposunda bulunan dosyalar, bunu yapmak için gereken bilgiyi, erişimi ve yol haritasını sağladı’ ifadelerini kullandı.

KrebsOnSecurity, CISA’nın güvenlik firması GitGuardian tarafından veri sızıntısı konusunda ilk kez bilgilendirilmesinden bir haftadan fazla süre geçmesine rağmen, ajansın hâlâ sızdırılan anahtarların ve gizli bilgilerin çoğunu geçersiz kılmak ve değiştirmek için çalıştığını öğrendi. 20 Mayıs’ta TruffleHog’un yaratıcısı Dylan Ayrey, CISA’nın hâlâ Private-CISA deposunda sızdırılan ve CISA kurumsal hesabına ait bir GitHub uygulamasına erişim sağlayan bir RSA özel anahtarını geçersiz kılmadığını söyledi. Ayrey, bu anahtarın tüm kod depolarına tam erişim sağladığını ve bir saldırganın bu anahtarla CISA-IT organizasyonundaki her deponun kaynak kodunu okuyabileceğini, CI/CD boru hatlarını ele geçirebileceğini ve depo yönetici ayarlarını değiştirebileceğini belirtti.

KrebsOnSecurity, Ayrey’in bulguları hakkında 20 Mayıs’ta CISA’yı bilgilendirdi. Ayrey, CISA’nın bu bildirimden sonra sızdırılan RSA özel anahtarını geçersiz kıldığını ancak ajansın teknoloji portföyünde kullanılan diğer kritik güvenlik teknolojilerine ait sızdırılan kimlik bilgilerini hâlâ yenilemediğini belirtti. CISA, konuyla ilgili kısa bir yazılı açıklama yaparak ‘tespit edilen tüm sızdırılan kimlik bilgilerinin döndürülmesi ve geçersiz kılınması için uygun taraflar ve satıcılarla aktif olarak yanıt veriyor ve koordinasyon sağlıyoruz’ dedi.

Detaylar ve Etkileri

Ayrey, şirketi Truffle Security’nin GitHub ve diğer kod platformlarını sızdırılan anahtarlar için izlediğini ve etkilenen hesapları hassas veri sızıntılarına karşı uyarmaya çalıştığını söyledi. Ancak siber suç gruplarının ve yabancı düşmanların da bu genel yayın akışını izlediğine dair kanıtlar olduğunu belirtti. Ayrey, CISA sırlarının en bariz şekilde Nisan 2026 sonlarında yayınlandığını ve ‘GitHub olaylarını izleyen herkes bu bilgiye sahip olabilir’ uyarısında bulundu.

Kaynak: krebsonsecurity.com

Paylaş: