ABD Kongresi'nin her iki kanadındaki milletvekilleri, CISA'nın bir yüklenicisinin kasıtlı olarak AWS GovCloud anahtarlarını ve ajansa ait geniş bir gizli bilgi yığınını herkese açık bir GitHub hesabında yayınlamasının ardından ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'ndan (CISA) yanıt talep ediyor. KrebsOnSecurity'nin haberine göre, bu soruşturma CISA'nın hâlâ ihlali kontrol altına almaya ve sızdırılan kimlik bilgilerini geçersiz kılmaya çalıştığı bir dönemde geliyor. Olay, ajansın iç güvenlik politikalarının sorgulanmasına yol açtı.
18 Mayıs'ta yayınlanan haberde, CISA'nın kod geliştirme platformuna yönetici erişimi olan bir yüklenicinin 'Private-CISA' adlı bir GitHub profili oluşturduğu ve bu profile düzinelerce dahili CISA sistemine ait düz metin kimlik bilgilerini eklediği ortaya çıktı. Uzmanlar, sızdırılan sırları inceledikten sonra yüklenicinin, GitHub'ın hassas kimlik bilgilerini herkese açık depolarda yayınlamaya karşı yerleşik korumasını devre dışı bıraktığını belirtti. CISA sızıntıyı kabul etti ancak verilerin ne kadar süredir açıkta olduğu sorusuna yanıt vermedi.
Senatör Maggie Hassan (D-NH), 19 Mayıs'ta CISA'nın Geçici Direktörü Nick Andersen'e gönderdiği bir mektupta, kimlik bilgisi sızıntısının, siber ihlalleri önlemekle görevli ajansın kendisinde böyle bir güvenlik açığının nasıl meydana gelebileceği konusunda ciddi sorular doğurduğunu söyledi. Hassan, 'Bu haber, ABD kritik altyapısına yönelik önemli siber tehditlerin olduğu bir dönemde CISA'nın iç politika ve prosedürleri hakkında ciddi endişeler uyandırıyor' dedi. Temsilciler Meclisi İç Güvenlik Komitesi'nin kıdemli üyesi Bennie Thompson (D-MS) da endişeleri yineledi.
Detaylar ve Etkileri
KrebsOnSecurity, CISA'nın sızıntıdan bir haftadan uzun süre sonra hâlâ birçok sızdırılmış anahtar ve sırrı geçersiz kılmaya çalıştığını öğrendi. TruffleHog'un yaratıcısı Dylan Ayrey, sızdırılan bir RSA özel anahtarının hâlâ geçerli olduğunu ve CISA'nın GitHub uygulamasına tam erişim sağladığını belirtti. Ayrey, 'Bir saldırgan bu anahtarla CISA-IT organizasyonundaki her depodan kaynak kodu okuyabilir, CI/CD boru hatlarını ele geçirebilir ve depo yönetici ayarlarını değiştirebilir' dedi. CISA, nihayet bu anahtarı geçersiz kıldı ancak diğer kritik güvenlik teknolojilerine ait sızdırılmış kimlik bilgilerini henüz döndürmedi.