CISA Veri Sızıntısı: Kongre'den Sert Tepki, Yüklenici GitHub'a Gizli Bilgileri Sızdırdı Yazılım

CISA Veri Sızıntısı: Kongre'den Sert Tepki, Yüklenici GitHub'a Gizli Bilgileri Sızdırdı

CISA yüklenicisi, AWS GovCloud anahtarları ve hassas verileri GitHub'da yayınladı. Kongre soruşturma başlattı, kurum hala sızıntıyı kontrol altına alm

ABD Kongresi'nin her iki kanadındaki yasa koyucular, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'ndan (CISA) yanıt bekliyor. KrebsOnSecurity'nin haberine göre, bir CISA yüklenicisi, AWS GovCloud anahtarları ve kuruma ait geniş bir gizli bilgi yığınını kasıtlı olarak herkese açık bir GitHub hesabında yayınladı. Soruşturma, CISA'nın hala ihlali kontrol altına almaya ve sızdırılan kimlik bilgilerini geçersiz kılmaya çalıştığı bir dönemde başlatıldı.

18 Mayıs'ta KrebsOnSecurity, CISA'nın kod geliştirme platformuna yönetici erişimi olan bir yüklenicinin, 'Private-CISA' adlı herkese açık bir GitHub profili oluşturduğunu ve bu profile düzinelerce iç CISA sistemine ait düz metin kimlik bilgilerini eklediğini bildirdi. Sızdırılan sırları inceleyen uzmanlar, kod deposunun commit kayıtlarının, CISA yüklenicisinin GitHub'ın herkese açık depolarda hassas kimlik bilgilerinin yayınlanmasına karşı yerleşik korumasını devre dışı bıraktığını gösterdiğini söyledi.

CISA sızıntıyı kabul etti ancak verilerin ne kadar süreyle açıkta kaldığına ilişkin soruları yanıtlamadı. Bununla birlikte, artık kullanılmayan Private-CISA arşivini inceleyen uzmanlar, deponun ilk olarak Kasım 2025'te oluşturulduğunu ve bir kişisel çalışma not defteri veya senkronizasyon mekanizması olarak kullanıldığına dair bir desen sergilediğini belirtti. Senatör Maggie Hassan, CISA'nın geçici direktörü Nick Andersen'e gönderdiği bir mektupta, bu tür bir güvenlik zaafiyetinin, siber ihlalleri önlemekle görevli bir kurumda nasıl meydana gelebildiğinin ciddi soruları beraberinde getirdiğini vurguladı.

Teknik Analiz

KrebsOnSecurity, CISA'nın ilk bildirimden bir haftadan fazla bir süre sonra hala birçok sızdırılan anahtarı geçersiz kılmak ve değiştirmek için çalıştığını öğrendi. TruffleHog'un yaratıcısı Dylan Ayrey, CISA'nın hala CISA-IT GitHub organizasyonundaki tüm kod depolarına tam erişim sağlayan bir GitHub uygulamasına ait RSA özel anahtarını geçersiz kılmadığını belirtti. Ayrey, 'Bu anahtara sahip bir saldırgan, CISA-IT organizasyonundaki her deponun kaynak kodunu okuyabilir, CI/CD boru hatlarını ele geçirebilir ve depo yönetici ayarlarını değiştirebilir' uyarısında bulundu.

Paylaş: