KrebsOnSecurity'nin bu hafta bir CISA yüklenicisinin kasıtlı olarak AWS GovCloud anahtarlarını ve çok sayıda başka kurum sırrını halka açık bir GitHub hesabında yayınladığını bildirmesinin ardından Kongre'nin her iki kanadındaki milletvekilleri ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'ndan (CISA) yanıtlar talep ediyor. Soruşturma, CISA'nın hâlâ ihlali kontrol altına almak ve sızdırılan kimlik bilgilerini geçersiz kılmak için mücadele ettiği bir dönemde geldi.
18 Mayıs'ta KrebsOnSecurity, ajansın kod geliştirme platformuna idari erişimi olan bir CISA yüklenicisinin, düzinelerce dahili CISA sistemine yönelik düz metin kimlik bilgilerini içeren "Private-CISA" adlı halka açık bir GitHub profili oluşturduğunu bildirdi. Açığa çıkan sırları inceleyen uzmanlar, kod deposunun taahhüt günlüklerinin, CISA yüklenicisinin GitHub'ın halka açık depolarda hassas kimlik bilgilerinin yayınlanmasına karşı yerleşik korumasını devre dışı bıraktığını gösterdiğini söyledi.
CISA sızıntıyı kabul etti ancak verilerin açığa çıkma süresiyle ilgili sorulara yanıt vermedi. Ancak artık kullanılmayan Özel-CISA arşivini inceleyen uzmanlar, arşivin ilk olarak Kasım 2025'te oluşturulduğunu ve bireysel bir operatörün veri havuzunu özel olarak hazırlanmış bir proje deposu yerine çalışan bir karalama defteri veya senkronizasyon mekanizması olarak kullanmasıyla tutarlı bir model sergilediğini söyledi.
Yazılı bir açıklamada CISA, "olayın sonucunda herhangi bir hassas verinin ele geçirildiğine dair bir gösterge bulunmadığını" söyledi. Ancak 19 Mayıs'ta CISA Direktör Vekili Nick Andersen, Senatör Maggie Hassan'a (D-NH) gönderilen bir mektupta (PDF), kimlik bilgisi sızıntısının, siber ihlalleri önlemeye yardımcı olmakla görevli kurumda böyle bir güvenlik açığının nasıl meydana gelebileceği konusunda ciddi soruları gündeme getirdiğini söyledi.
Senatör Hassan, "Bu rapor, ABD'nin kritik altyapısına yönelik önemli siber güvenlik tehditlerinin olduğu bir dönemde CISA'nın iç politikaları ve prosedürleriyle ilgili ciddi endişeleri artırıyor" diye yazdı.
Senatör Hassan, olayın, Trump yönetiminin kurumun çeşitli birimlerinde bir dizi erken emeklilik, satın alma ve istifaya zorlamasının ardından iş gücünün üçte birinden fazlasını ve neredeyse tüm üst düzey liderlerini kaybeden CISA'da büyük iç aksaklıklar yaşandığı bir dönemde meydana geldiğini belirtti.
Temsilciler Meclisi İç Güvenlik Komitesi'nin üst düzey üyesi Temsilci Bennie Thompson (D-MS), senatörün endişelerini yineledi.
Thompson, 19 Mayıs'ta CISA şefi vekiline yazdığı ve panelin Siber Güvenlik ve Altyapı Koruması Alt Komitesi'nin üst düzey üyesi Temsilci Delia Ramirez'in (D-Ill) ortak imzaladığı bir mektupta, "Bu olayın azalan bir güvenlik kültürünü ve/veya CISA'nın sözleşme desteğini yeterince yönetememesini yansıttığından endişe duyuyoruz" diye yazdı. "Çin, Rusya ve İran gibi düşmanlarımızın federal ağlara erişim ve kalıcılık kazanmaya çalıştıkları bir sır değil. 'Özel-CISA' deposunda bulunan dosyalar tam da bunu yapmak için gereken bilgileri, erişimi ve yol haritasını sağladı."
KrebsOnSecurity, CISA'nın güvenlik firması GitGuardian tarafından veri sızıntısı konusunda ilk kez bilgilendirilmesinden bir hafta sonra, ajansın açığa çıkan anahtarların ve sırların çoğunu geçersiz kılmak ve değiştirmek için hala çalıştığını öğrendi.
20 Mayıs'ta KrebsOnSecurity, GitHub ve diğer halka açık platformlarda barındırılan kodda gömülü özel anahtarları ve diğer sırları keşfetmeye yönelik açık kaynaklı bir araç olan TruffleHog'un yaratıcısı Dylan Ayrey'den haber aldı. Ayrey, CISA'nın, CISA kurumsal hesabına ait olan ve CISA-IT GitHub organizasyonuna yüklenen ve tüm kod depolarına tam erişime sahip bir GitHub uygulamasına erişim sağlayan Özel-CISA deposunda açığa çıkan bir RSA özel anahtarını hâlâ geçersiz kılmadığını söyledi.
Ayrey, KrebsOnSecurity'e şunları söyledi: "Bu anahtara sahip bir saldırgan, özel depolar da dahil olmak üzere CISA-IT organizasyonundaki her depodaki kaynak kodunu okuyabilir, CI/CD işlem hatlarını ele geçirmek ve depo sırlarına erişmek için kendi kendine barındırılan hileli çalıştırıcıları kaydedebilir ve şube koruma kuralları, web kancaları ve dağıtım anahtarları dahil olmak üzere depo yönetici ayarlarını değiştirebilir." CI/CD, Sürekli Entegrasyon ve Conti anlamına gelir
Çeşitli Teslimat ve yazılımın oluşturulmasını, test edilmesini ve dağıtılmasını otomatikleştirmek için kullanılan bir dizi uygulamayı ifade eder.
KrebsOnSecurity, 20 Mayıs'ta Ayrey'in bulgularını CISA'ya bildirdi. Ayrey, CISA'nın bu bildirimden bir süre sonra açığa çıkan RSA özel anahtarını geçersiz kıldığını söyledi. Ancak CISA'nın, kurumun teknoloji portföyünde konuşlandırılan diğer kritik güvenlik teknolojilerine bağlı sızdırılmış kimlik bilgilerini hâlâ rotasyona tabi tutmadığını belirtti (KrebsOnSecurity şimdilik bu teknolojileri kamuya açıklamıyor).
CISA, Ayrey'in bulgularıyla ilgili sorulara kısa bir yazılı açıklamayla yanıt verdi ve şunları söyledi: "CISA, tespit edilen sızdırılmış kimlik bilgilerinin değiştirilip geçersiz hale getirilmesini sağlamak için uygun taraflarla ve satıcılarla aktif olarak yanıt veriyor ve koordinasyon sağlıyor ve sistemlerimizin güvenliğini korumak için uygun adımları atmaya devam edecek."
Ayrey, şirketinin Truffle Security'nin GitHub'u ve diğer bazı kod platformlarını açığa çıkan anahtarlara karşı izlediğini ve etkilenen hesapları hassas veri risklerine karşı uyarmaya çalıştığını söyledi. Platform, genel kod depolarındaki tüm taahhütlerin ve değişikliklerin kaydını içeren canlı bir yayın yayınladığından bunu GitHub'da kolayca yapabilirler. Ancak kendisi, siber suçluların da bu genel yayınları izlediğini ve kod taahhütlerinde yanlışlıkla yayınlanan API veya SSH anahtarlarına hızla saldırdıklarını söyledi.
Ayrey, pratik açıdan bakıldığında, siber suç gruplarının veya yabancı düşmanların da bu CISA sırlarının yayınlandığını fark etmiş olabileceğini ve bunların en korkunçunun Nisan 2026'nın sonlarında gerçekleştiğini söyledi.
"Anahtarlar için veri yığınını izliyoruz ve bunların kim olduğunu anlamaya çalışacak araçlarımız var" dedi. "Saldırganların bu yangın hortumunu da izlediğine dair kanıtlarımız var. GitHub olaylarını izleyen herkes bu bilgiye bakıyor olabilir."
Risky Business güvenlik podcast'inin kurumsal teknoloji editörü James Wilson, kod projelerini yönetmek için GitHub'u kullanan kuruluşların, çalışanların GitHub'un gizli anahtarların ve kimlik bilgilerinin yayınlanmasına karşı korumalarını devre dışı bırakmasını önleyen yukarıdan aşağıya politikalar belirleyebileceğini söyledi. Ancak Wilson'ın ortak sunucusu Adam Boileau, herhangi bir teknolojinin çalışanların kendi kişisel GitHub hesaplarını açmasını ve bunu hassas ve özel bilgileri depolamak için kullanmasını engelleyebileceğinin net olmadığını söyledi.
Bu haftaki podcast'te Boileau, "Sonuçta bu teknik kontrolle çözemeyeceğiniz bir şey" dedi. "Bu, bu işi yapması için bir yüklenici kiraladığınız ve onların kendi istekleriyle bir iş makinesinden bir ev makinesine içerik senkronize etmek için GitHub'u kullanmaya karar verdikleri insani bir sorundur. Bunun muhtemelen CISA'nın yönettiği ve hatta görünürlüğünün olduğu herhangi bir şeyin dışında yapıldığı göz önüne alındığında, hangi teknik kontrolleri uygulamaya koyabileceğinizi bilmiyorum."
Güncelleme, 15:05. ET: CISA'dan açıklama eklendi. Hikayedeki bir tarih düzeltildi (Truffle Security, repo'nun en hassas sırlarından bazılarını 2025'te değil, Nisan 2026'nın sonlarında kazandığını bulduğunu söyledi).