CISA Veri Sızıntısı: Yüklenici Kasıtlı Olarak AWS GovCloud Anahtarlarını GitHub'da Yayınladı Yazılım

CISA Veri Sızıntısı: Yüklenici Kasıtlı Olarak AWS GovCloud Anahtarlarını GitHub'da Yayınladı

CISA yüklenicisi, AWS GovCloud anahtarları da dahil hassas verileri kamuya açık GitHub'da yayınladı. Kongre soruşturma başlattı.

ABD Kongresi'nin her iki kanadından milletvekilleri, Siber Güvenlik ve Altyapı Güvenliği Ajansı'ndan (CISA) bir yüklenicinin kasıtlı olarak AWS GovCloud anahtarlarını ve ajansa ait çok sayıda gizli veriyi kamuya açık bir GitHub hesabında yayınlamasının ardından açıklama talep ediyor. KrebsOnSecurity'nin haberine göre, olay CISA'nın ihlali kontrol altına alma ve sızdırılan kimlik bilgilerini geçersiz kılma çabaları devam ederken ortaya çıktı.

18 Mayıs'ta yayınlanan haberde, CISA'nın kod geliştirme platformuna yönetici erişimi olan bir yüklenicinin 'Private-CISA' adlı halka açık bir GitHub profili oluşturduğu ve bu profilin düzinelerce dahili CISA sistemine ait düz metin kimlik bilgileri içerdiği belirtildi. Uzmanlar, kod deposundaki commit kayıtlarının, yüklenicinin GitHub'ın hassas kimlik bilgilerinin herkese açık depolarda yayınlanmasına karşı yerleşik korumasını devre dışı bıraktığını gösterdiğini söyledi.

CISA sızıntıyı kabul etti ancak verilerin ne kadar süreyle açıkta kaldığına ilişkin soruları yanıtlamadı. Ancak, artık erişilemeyen Private-CISA arşivini inceleyen uzmanlar, deponun Kasım 2025'te oluşturulduğunu ve bireysel bir operatörün depoyu düzenli bir proje deposu yerine çalışma not defteri veya senkronizasyon mekanizması olarak kullandığına işaret eden bir desen sergilediğini söyledi.

Detaylar ve Etkileri

Yazılı bir açıklamada CISA, 'olay sonucunda herhangi bir hassas verinin tehlikeye atıldığına dair bir belirti olmadığını' söyledi. Ancak Senatör Maggie Hassan, CISA'nın geçici direktörü Nick Andersen'e gönderdiği 19 Mayıs tarihli mektubunda, kimlik bilgisi sızıntısının, siber ihlalleri önlemekle görevli ajansın kendisinde böyle bir güvenlik açığının nasıl meydana gelebileceği konusunda ciddi soruları gündeme getirdiğini belirtti.

Temsilci Bennie Thompson da endişeleri yineledi. Thompson, 'Bu olayın, zayıflamış bir güvenlik kültürünü ve/veya CISA'nın sözleşmeli desteğini yeterince yönetememesini yansıttığından endişeliyiz' dedi. Bu arada, KrebsOnSecurity, CISA'nın ilk olarak güvenlik firması GitGuardian tarafından veri sızıntısı konusunda bilgilendirilmesinden bir haftadan fazla süre geçmesine rağmen, ajansın hala açığa çıkan anahtarların ve sırların çoğunu geçersiz kılmak ve değiştirmek için çalıştığını öğrendi.

TruffleHog'un yaratıcısı Dylan Ayrey, CISA'nın hala Private-CISA deposunda açığa çıkan ve CISA kurumsal hesabına ait bir GitHub uygulamasına erişim sağlayan bir RSA özel anahtarını geçersiz kılmadığını söyledi. Ayrey, 'Bu anahtara sahip bir saldırgan, CISA-IT organizasyonundaki her depodan kaynak kodunu okuyabilir, CI/CD boru hatlarını ele geçirebilir ve depo yönetici ayarlarını değiştirebilir' dedi. CISA, Ayrey'in bildiriminden sonra anahtarı geçersiz kıldı ancak diğer kritik teknolojilere ait kimlik bilgileri henüz döndürülmedi.

Ayrey, Truffle Security'nin GitHub ve diğer kod platformlarını açıkta kalan anahtarlar için izlediğini, ancak siber suçluların da bu genel akışları izlediğini ve yanlışlıkla yayınlanan API veya SSH anahtarlarına hızla saldırdığını belirtti. Pratikte, siber suç gruplarının veya yabancı düşmanların da bu CISA sırlarının yayınlanmasını fark etmiş olması muhtemel. En ciddi sızıntının Nisan 2026 sonlarında meydana geldiği tahmin ediliyor.

Kaynak: krebsonsecurity.com

Paylaş: