ABD Kongresi'nin her iki kanadından milletvekilleri, CISA'ya (Siber Güvenlik ve Altyapı Güvenliği Ajansı) yönelik sert sorular yöneltiyor. KrebsOnSecurity'nin haberine göre, bir CISA yüklenicisi, ajansın AWS GovCloud anahtarlarını ve çok sayıda gizli veriyi kasıtlı olarak herkese açık bir GitHub hesabında yayınladı. Soruşturma, CISA'nın hâlâ ihlali kontrol altına almak ve sızdırılan kimlik bilgilerini geçersiz kılmak için mücadele ettiği bir dönemde başladı.
18 Mayıs'ta yayınlanan haberde, CISA'nın kod geliştirme platformuna yönetici erişimi olan bir yüklenicinin, 'Private-CISA' adlı halka açık bir GitHub profili oluşturduğu ve bu profile düzinelerce dahili CISA sistemine ait düz metin kimlik bilgilerini eklediği belirtildi. Açığa çıkan sırları inceleyen uzmanlar, kod deposundaki commit kayıtlarının, CISA yüklenicisinin GitHub'ın hassas kimlik bilgilerinin herkese açık depolarda yayınlanmasına karşı yerleşik korumasını devre dışı bıraktığını gösterdiğini söyledi.
CISA sızıntıyı kabul etti ancak verilerin ne kadar süreyle açıkta kaldığına ilişkin sorulara yanıt vermedi. Ancak artık kullanılmayan Private-CISA arşivini inceleyen uzmanlar, deponun Kasım 2025'te oluşturulduğunu ve bireysel bir operatörün depoyu küratörlü bir proje deposu yerine çalışma not defteri veya senkronizasyon mekanizması olarak kullandığına dair bir örüntü sergilediğini belirtti.
CISA yazılı bir açıklamada 'olay sonucunda hiçbir hassas verinin tehlikeye girmediğine dair bir işaret bulunmadığını' söyledi. Ancak Senatör Maggie Hassan, CISA Geçici Direktörü Nick Andersen'e gönderdiği 19 Mayıs tarihli mektupta, kimlik bilgisi sızıntısının, siber ihlalleri önlemekle görevli ajansın kendisinde böyle bir güvenlik açığının nasıl meydana gelebileceği konusunda ciddi sorular ortaya çıkardığını belirtti.
Sistem Güvenliği
Senatör Hassan, olayın CISA içinde büyük aksaklıklar yaşandığı bir dönemde meydana geldiğine dikkat çekti. Trump yönetiminin ajansın çeşitli bölümlerinde bir dizi erken emeklilik, satın alma ve istifayı zorlamasının ardından CISA, iş gücünün üçte birinden fazlasını ve kıdemli liderlerinin neredeyse tamamını kaybetti. Temsilciler Meclisi İç Güvenlik Komitesi'nin kıdemli üyesi Bennie Thompson da endişeleri dile getirerek, olayın zayıflamış bir güvenlik kültürünü ve/veya CISA'nın sözleşmeli desteğini yeterince yönetememesini yansıttığını söyledi.
Detaylar ve Etkileri
KrebsOnSecurity, CISA'nın ilk olarak güvenlik firması GitGuardian tarafından veri sızıntısı konusunda uyarılmasından bir haftadan fazla süre geçmesine rağmen, ajansın hâlâ açığa çıkan anahtarların ve sırların birçoğunu geçersiz kılmak ve değiştirmek için çalıştığını öğrendi. TruffleHog aracının yaratıcısı Dylan Ayrey, CISA'nın hâlâ, CISA kurumsal hesabına ait olan ve CISA-IT GitHub organizasyonuna yüklenmiş, tüm kod depolarına tam erişim sağlayan bir GitHub uygulamasına erişim izni veren açıkta kalan bir RSA özel anahtarını geçersiz kılmadığını söyledi.
Ayrey, 'Bu anahtara sahip bir saldırgan, CISA-IT organizasyonundaki her deponun kaynak kodunu okuyabilir, CI/CD boru hatlarını ele geçirmek için haydut kendi kendine barındırılan çalıştırıcılar kaydedebilir, depo sırlarına erişebilir ve dal koruma kuralları, web kancaları ve dağıtım anahtarları dahil olmak üzere depo yönetici ayarlarını değiştirebilir' dedi. KrebsOnSecurity, 20 Mayıs'ta CISA'yı Ayrey'in bulguları hakkında bilgilendirdi ve Ayrey, CISA'nın bu bildirimden sonra açıkta kalan RSA özel anahtarını geçersiz kıldığını ancak ajansın teknoloji portföyünde kullanılan diğer kritik güvenlik teknolojilerine ait sızdırılan kimlik bilgilerini henüz değiştirmediğini belirtti.
Teknik Analiz
Ayrey, şirketi Truffle Security'nin GitHub ve diğer kod platformlarını açıkta kalan anahtarlar için izlediğini ve etkilenen hesapları hassas veri ifşaları konusunda uyarmaya çalıştığını söyledi. Bunu GitHub'da kolayca yapabiliyorlar çünkü platform, herkese açık kod depolarındaki tüm commit'lerin ve değişikliklerin kaydını içeren canlı bir yayın yayınlıyor. Ancak siber suçlu aktörlerin de bu genel yayınları izlediğini ve kod commit'lerinde yanlışlıkla yayınlanan API veya SSH anahtarlarına genellikle hızla saldırdığını belirtti. Ayrey, siber suç gruplarının veya yabancı hasımların da bu CISA sırlarının yayınlanmasını fark etmiş olmasının muhtemel olduğunu ve en büyük ihlalin Nisan 2026 sonlarında gerçekleştiğini söyledi.
Kaynak: krebsonsecurity.com