ABD Kongresi’nin her iki kanadından milletvekilleri, Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) bir veri sızıntısıyla ilgili açıklama talep ediyor. KrebsOnSecurity’nin haberine göre, bir CISA yüklenicisi AWS GovCloud anahtarlarını ve çok sayıda kurum sırrını kamuya açık bir GitHub hesabına yayınladı. Olay, CISA’nın hâlâ ihlali kontrol altına almaya ve sızdırılan kimlik bilgilerini geçersiz kılmaya çalıştığı bir dönemde yaşandı.
18 Mayıs’ta yayınlanan haberde, CISA’nın kod geliştirme platformuna yönetici erişimi olan bir yüklenicinin, “Private-CISA” adlı bir GitHub profili oluşturarak düzinelerce dahili CISA sistemine ait düz metin kimlik bilgilerini paylaştığı ortaya çıktı. Uzmanlar, yüklenicinin GitHub’ın hassas kimlik bilgilerini genel depolarda yayınlamaya karşı yerleşik korumasını devre dışı bıraktığını belirtti. CISA sızıntıyı kabul etse de, verilerin ne kadar süre açıkta kaldığına dair soruları yanıtsız bıraktı.
Senatör Maggie Hassan, 19 Mayıs’ta CISA’nın geçici direktörü Nick Andersen’e gönderdiği mektupta, “Bu raporlama, CISA’nın iç politikaları ve prosedürleri hakkında ciddi sorular ortaya çıkarıyor” dedi. Temsilciler Meclisi İç Güvenlik Komitesi’nin kıdemli üyesi Bennie Thompson da, “Bu olayın, CISA’nın güvenlik kültürünün zayıfladığını ve/veya sözleşmeli desteği yönetme konusundaki yetersizliğini yansıttığından endişeliyiz” ifadelerini kullandı.
Detaylar ve Etkileri
KrebsOnSecurity’nin öğrendiğine göre, CISA sızıntının fark edilmesinden bir hafta sonra hâlâ açığa çıkan anahtarları geçersiz kılmaya çalışıyor. TruffleHog aracının yaratıcısı Dylan Ayrey, CISA’nın hâlâ CISA-IT GitHub organizasyonundaki tüm kod depolarına erişim sağlayan bir RSA özel anahtarını iptal etmediğini söyledi. Uzmanlar, siber suç gruplarının veya yabancı düşmanların bu sırları fark etmiş olabileceği uyarısında bulunuyor.