CISA Veri Sızıntısı: Kongre'den Sert Tepki, Güvenlik Açıkları Derinleşiyor Siber Güvenlik

CISA Veri Sızıntısı: Kongre'den Sert Tepki, Güvenlik Açıkları Derinleşiyor

ABD Siber Güvenlik Ajansı CISA, bir yüklenicinin AWS GovCloud anahtarlarını ve kurumsal sırları kamuya açık GitHub hesabına sızdırmasıyla Kongre'nin h

ABD Kongresi'nin her iki kanadından milletvekilleri, Siber Güvenlik ve Altyapı Güvenliği Ajansı'ndan (CISA) sert yanıtlar talep ediyor. KrebsOnSecurity'nin bu hafta yayımladığı habere göre, bir CISA yüklenicisi, ajansın AWS GovCloud anahtarlarını ve çok sayıda gizli belgeyi kasıtlı olarak herkese açık bir GitHub hesabında yayınladı. Olay, CISA'nın ihlali kontrol altına almak ve sızdırılan kimlik bilgilerini geçersiz kılmak için hâlâ çaba gösterdiği bir dönemde yaşanıyor.

18 Mayıs'ta KrebsOnSecurity, CISA'nın kod geliştirme platformuna yönetici erişimine sahip bir yüklenicinin 'Private-CISA' adlı bir GitHub profili oluşturduğunu ve bu profile düzinelerce iç CISA sistemine ait düz metin kimlik bilgilerini eklediğini bildirdi. Açığa çıkan sırları inceleyen uzmanlar, kod deposundaki commit kayıtlarının, CISA yüklenicisinin GitHub'ın hassas kimlik bilgilerini herkese açık depolarda yayınlamaya karşı yerleşik korumasını devre dışı bıraktığını gösterdiğini belirtti.

CISA sızıntıyı kabul etti, ancak verilerin ne kadar süreyle açıkta kaldığına dair sorulara yanıt vermedi. Ancak artık kullanılmayan Private-CISA arşivini inceleyen uzmanlar, hesabın ilk olarak Kasım 2025'te oluşturulduğunu ve bireysel bir operatörün depoyu düzenli bir proje deposu olarak değil, çalışma not defteri veya senkronizasyon mekanizması olarak kullandığına işaret eden bir desen sergilediğini söyledi.

CISA yazılı bir açıklamada 'olay sonucunda herhangi bir hassas verinin tehlikeye atıldığına dair bir işaret bulunmadığını' belirtti. Ancak 19 Mayıs'ta CISA'nın Geçici Direktörü Nick Andersen'e gönderilen bir mektupta, Senatör Maggie Hassan (D-NH) bu kimlik bilgisi sızıntısının, siber ihlalleri önlemekle görevli ajansın kendisinde bu tür bir güvenlik zaafiyetinin nasıl meydana gelebileceği konusunda ciddi sorular doğurduğunu söyledi.

Önemli Gelişmeler

Temsilci Bennie Thompson (D-MS), Temsilciler Meclisi İç Güvenlik Komitesi'nin kıdemli üyesi, senatörün endişelerini yineledi. Thompson, 'Bu olayın, zayıflamış bir güvenlik kültürünü ve/veya CISA'nın sözleşmeli desteğini yeterince yönetememesini yansıttığından endişeliyiz' dedi. 'Düşmanlarımızın - Çin, Rusya ve İran gibi - federal ağlara erişim ve kalıcılık kazanmaya çalıştığı bir sır değil. Private-CISA deposundaki dosyalar, bunu yapmak için gereken bilgiyi, erişimi ve yol haritasını sağladı.'

KrebsOnSecurity, CISA'nın veri sızıntısı konusunda ilk olarak güvenlik firması GitGuardian tarafından bilgilendirilmesinden bir haftadan fazla süre geçmesine rağmen, ajansın hâlâ açığa çıkan anahtarların ve sırların çoğunu geçersiz kılmak ve değiştirmek için çalıştığını öğrendi. TruffleHog'un yaratıcısı Dylan Ayrey, CISA'nın hâlâ CISA kurumsal hesabına ait ve CISA-IT GitHub organizasyonunda tam erişime sahip bir GitHub uygulamasına erişim sağlayan RSA özel anahtarını geçersiz kılmadığını söyledi. Ayrey, 'Bu anahtara sahip bir saldırgan, CISA-IT organizasyonundaki her deponun kaynak kodunu okuyabilir, CI/CD boru hatlarını ele geçirebilir ve depo yönetici ayarlarını değiştirebilir' dedi.

KrebsOnSecurity, 20 Mayıs'ta CISA'yı Ayrey'nin bulguları konusunda bilgilendirdi. Ayrey, CISA'nın bu bildirimden sonra açığa çıkan RSA özel anahtarını geçersiz kıldığını, ancak ajansın teknoloji portföyü genelinde kullanılan diğer kritik güvenlik teknolojilerine ait sızdırılan kimlik bilgilerini hâlâ döndürmediğini belirtti. CISA, 'uygun taraflar ve satıcılarla koordinasyon içinde aktif olarak yanıt veriyor' açıklamasını yaptı.

Nasıl Önlem Alınmalı?

Ayrey, şirketinin GitHub ve diğer kod platformlarını açığa çıkan anahtarlar için izlediğini ve etkilenen hesapları hassas veri ifşaları konusunda uyarmaya çalıştığını söyledi. Ancak siber suç gruplarının da bu genel akışları izlediğini ve yanlışlıkla yayınlanan API veya SSH anahtarlarına hızla saldırdığını belirtti. Ayrey, en ciddi sızıntının Nisan 2026 sonlarında meydana geldiğini ve siber suç gruplarının veya yabancı düşmanların bu bilgilere sahip olmasının muhtemel olduğunu vurguladı. Risky Business güvenlik podcast'inin editörü James Wilson, GitHub kullanan kuruluşların artık bu tür olaylara karşı daha dikkatli olması gerektiğini belirtti.

Kaynak: krebsonsecurity.com

Paylaş: