CISA GitHub Sızıntısından Çıkarılan Dersler: Güvenlik Ekipleri İçin Kritik Öneriler Yazılım

CISA GitHub Sızıntısından Çıkarılan Dersler: Güvenlik Ekipleri İçin Kritik Öneriler

CISA'nın GitHub sızıntısı, AWS GovCloud anahtarlarının 6 ay boyunca açıkta kalmasıyla güvenlik ekiplerine önemli dersler sunuyor.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), geçtiğimiz aylarda bir yüklenicinin kamuya açık bir GitHub deposunda 844 MB hassas veri yayınlamasıyla sarsıldı. Olayın ardından yayınlanan kapsamlı bir postmortem raporu, kurumun yanıt sürecindeki açıkları ve bunlardan çıkarılan dersleri ortaya koyuyor. Raporda, AWS GovCloud anahtarları da dahil olmak üzere düzinelerce iç kimlik bilgisinin neredeyse altı ay boyunca açıkta kaldığı belirtiliyor.

Sızıntı, ilk olarak güvenlik firması GitGuardian tarafından 15 Mayıs 2026'da tespit edildi. 'Private CISA' adlı depoda yer alan 'importantAWStokens' dosyası, üç AWS GovCloud sunucusunun yönetici kimlik bilgilerini içeriyordu. Bir diğer dosya olan 'AWS-Workspace-Firefox-Passwords.csv' ise onlarca iç CISA sisteminin düz metin kullanıcı adı ve şifrelerini barındırıyordu. Bu durum, kurumun hassas verilerini koruma konusundaki zafiyetini gözler önüne serdi.

CISA, uyarıyı hızlıca kabul etmesine rağmen AWS anahtarlarını ve diğer sırları geçersiz kılmak için 48 saatten fazla zaman harcadı. Raporda, sistemlerin karmaşıklığı ve federal-endüstri ortaklarıyla olan bağlantılar nedeniyle anahtar döndürme işleminin beklenenden uzun sürdüğü belirtildi. Uzmanlar, bu gecikmenin olgun ve iyi test edilmiş bir anahtar yönetimi altyapısının önemini vurguladığını söylüyor.

Nasıl Önlem Alınmalı?

GitGuardian araştırmacısı Guillaume Valadon, CISA'nın sızıntıdan önce dokuz otomatik uyarıyı yanıtsız bıraktığını ortaya çıkardı. Valadon, 'Dokuz bildirim e-postasının yanıtsız kalması, bir günlük olayın altı aylık bir maruziyete dönüşmesine neden olur' diyerek uyarıların ciddiye alınması gerektiğini vurguladı. Ayrıca, raporlama kanallarının net olmaması nedeniyle araştırmacının birden fazla yol denemek zorunda kaldığı belirtildi.

CISA'nın postmortem raporu, sürekli sır taramasının önemini de vurguluyor. Valadon, 'Private-CISA deposu altı ay boyunca herkese açıktı. Sürekli izleme sayesinde yüzeye çıkarıldı. Kapsamlı iç tarama, düz metin şifreleri ve yedekleri daha kurumdan çıkmadan yakalayabilirdi' dedi. CISA, olay sonrası tüm sırları döndürdü ve geliştirici sırlarının yönetimi için bir eylem planı oluşturdu.

CISA, raporunda bazı alanlarda başarılı olduğunu da belirtti. Gelişmiş günlük kaydı ve sıfır güven ilkelerinin benimsenmesi sayesinde, sızdırılan kimlik bilgilerinin CISA dışında kullanılmadığı ve müşteri verilerine erişilmediği tespit edildi. Ayrıca, sırları sızdıran yüklenicinin sistem erişimi iptal edildi. Ancak uzmanlar, bu tür olayların önlenmesi için sürekli tarama ve net raporlama kanallarının kritik olduğunu vurguluyor.

Kaynak: krebsonsecurity.com

Paylaş: