Geçtiğimiz hafta sonuna kadar, Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) bir yüklenicisi, çok sayıda ayrıcalıklı AWS GovCloud hesabına ve çok sayıda dahili CISA sistemine ait kimlik bilgilerini açığa çıkaran halka açık bir GitHub deposunu sürdürüyordu. Güvenlik uzmanları, kamu arşivinin CISA'nın yazılımı dahili olarak nasıl oluşturduğunu, test ettiğini ve dağıttığını ayrıntılarıyla anlatan dosyalar içerdiğini ve bunun yakın tarihteki en korkunç hükümet veri sızıntılarından birini temsil ettiğini söyledi.
15 Mayıs'ta KrebsOnSecurity, GitGuardian güvenlik firmasında araştırmacı olan Guillaume Valadon'dan haber aldı. Valadon'un şirketi, açığa çıkan sırlar için GitHub ve diğer yerlerdeki genel kod depolarını sürekli olarak tarıyor ve rahatsız edici hesapları, görünürdeki hassas veri ifşalarına karşı otomatik olarak uyarıyor. Valadon, bu durumda sahibinin yanıt vermemesi ve ifşa edilen bilgilerin son derece hassas olması nedeniyle iletişime geçtiğini söyledi.
Valadon'un işaretlediği GitHub deposu "Özel-CISA" olarak adlandırıldı ve bulut anahtarları, belirteçler, düz metin şifreleri, günlükler ve diğer hassas CISA varlıkları da dahil olmak üzere çok sayıda dahili CISA/DHS kimlik bilgilerini ve dosyasını barındırıyordu.
Valadon, açığa çıkan CISA kimlik bilgilerinin zayıf güvenlik hijyeninin bir ders kitabı örneğini temsil ettiğini söyledi ve rahatsız edici GitHub hesabındaki kayıt kayıtlarının, CISA yöneticisinin GitHub'da kullanıcıların SSH anahtarlarını veya diğer sırları kamu kod depolarında yayınlamasını engelleyen varsayılan ayarı devre dışı bıraktığını gösterdiğini belirtti.
Valadon bir e-postada şunları yazdı: "Parolalar bir csv'de düz metin olarak saklanıyor, git'te yedekleniyor, GitHub'ın sırlarını tespit etme özelliğini devre dışı bırakan açık komutlar." "İçeriği daha derinlemesine analiz etmeden önce bunların hepsinin sahte olduğuna gerçekten inandım. Bu gerçekten de kariyerim boyunca tanık olduğum en kötü sızıntı. Bu açıkça bireysel bir hata, ancak bunun içsel uygulamaları ortaya çıkarabileceğine inanıyorum."
"ÖnemliAWStokens" başlıklı açığa çıkan dosyalardan biri, üç Amazon AWS GovCloud sunucusunun yönetici kimlik bilgilerini içeriyordu. Halka açık GitHub deposunda açığa çıkan başka bir dosya - "AWS-Workspace-Firefox-Passwords.csv" - düzinelerce dahili CISA sistemi için düz metin kullanıcı adlarını ve şifreleri listeliyordu. Caturegli'ye göre bu sistemler, kurumun güvenli kod geliştirme ortamı olan "Landing Zone DevSecOps"un kısaltması gibi görünen "LZ-DSO" adlı sistemi içeriyordu.
Güvenlik danışmanlığı Seralys'in kurucusu Philippe Caturegli, AWS anahtarlarını yalnızca hâlâ geçerli olup olmadıklarını görmek ve açığa çıkan hesapların hangi dahili sistemlere erişebileceğini belirlemek için test ettiğini söyledi. Caturegli, CISA sırlarını açığa çıkaran GitHub hesabının, bireysel bir operatörün veri havuzunu seçilmiş bir proje deposu yerine çalışan bir karalama defteri veya senkronizasyon mekanizması olarak kullanmasıyla tutarlı bir model sergilediğini söyledi.
Caturegli, "Hem CISA ile ilişkili bir e-posta adresinin hem de kişisel bir e-posta adresinin kullanılması, veri deposunun farklı yapılandırılmış ortamlarda kullanılmış olabileceğini gösteriyor" dedi. "Mevcut Git meta verileri tek başına hangi uç noktanın veya cihazın kullanıldığını kanıtlamaz."
Caturegli, açığa çıkan kimlik bilgilerinin üç AWS GovCloud hesabında yüksek ayrıcalık düzeyinde kimlik doğrulaması yapabileceğini doğruladığını söyledi. Arşivin aynı zamanda CISA'nın dahili "yapımına" (esasen yazılım oluşturmak için kullandıkları tüm kod paketlerinin deposu) yönelik düz metin kimlik bilgilerini de içerdiğini ve bunun, CISA sistemlerinde kalıcı bir yer edinmenin yollarını arayan kötü niyetli saldırganlar için cazip bir hedef temsil edeceğini söyledi.
"Bu yanal hareket için en iyi yer olurdu" dedi. "Bazı yazılım paketlerinde arka kapı var ve her yeni bir şey oluşturduklarında arka kapınızı sağa sola dağıtıyorlar."
Sorulara yanıt olarak CISA sözcüsü, ajansın bildirilen maruziyetten haberdar olduğunu ve durumu araştırmaya devam ettiğini söyledi.
CISA sözcüsü, "Şu anda bu olayın sonucunda herhangi bir hassas verinin tehlikeye girdiğine dair bir gösterge yok" diye yazdı. “Ekip üyelerimizi en yüksek seviyede tutarken
Dürüstlük ve operasyonel farkındalık ilkeleri doğrultusunda, gelecekteki olayların önlenmesi için ek önlemlerin uygulanmasını sağlamak için çalışıyoruz."
GitHub hesabı ve açığa çıkan şifreler üzerinde yapılan inceleme, "Özel CISA" deposunun Dulles, Va merkezli bir hükümet yüklenicisi olan Nightwing'in bir çalışanı tarafından muhafaza edildiğini gösteriyor. Nightwing yorum yapmayı reddetti ve soruşturmaları CISA'ya yönlendirdi.
CISA, veri ifşasının potansiyel süresi hakkındaki sorulara yanıt vermedi ancak Caturegli, Özel CISA deposunun 13 Kasım 2025'te oluşturulduğunu söyledi. Yüklenicinin GitHub hesabı Eylül 2018'de oluşturuldu.
Özel CISA deposunu içeren GitHub hesabı, hem KrebsOnSecurity hem de Seralys'in CISA'ya ifşa hakkında bilgi vermesinden kısa bir süre sonra çevrimdışına alındı. Ancak Caturegli, açığa çıkan AWS anahtarlarının açıklanamaz bir şekilde 48 saat daha geçerli kalmaya devam ettiğini söyledi.
CISA şu anda normal bütçesinin ve personel seviyesinin yalnızca bir kısmıyla çalışıyor. Ajans, ikinci Trump yönetiminin başlangıcından bu yana işgücünün neredeyse üçte birini kaybetti ve bu durum, ajansın çeşitli bölümlerinde bir dizi erken emeklilik, satın alma ve istifaya neden oldu.
Artık kullanılmayan Özel CISA deposu, yüklenicinin aynı zamanda bir dizi dahili kaynak için kolayca tahmin edilebilecek şifreler kullandığını gösterdi; örneğin, kimlik bilgilerinin çoğu, her platformun adından ve ardından içinde bulunduğumuz yıldan oluşan bir şifre kullanıyordu. Caturegli, bu tür uygulamaların, bu kimlik bilgileri hiçbir zaman dışarıya ifşa edilmese bile herhangi bir kuruluş için ciddi bir güvenlik tehdidi oluşturacağını söyledi ve tehdit aktörlerinin, hedeflenen sisteme ilk erişimi sağladıktan sonra erişimlerini genişletmek için genellikle iç ağda açığa çıkan anahtar kimlik bilgilerini kullandığını belirtti.
Caturegli, "Olduğundan şüphelendiğim şey, [CISA yüklenicisinin] bu GitHub'u bir iş dizüstü bilgisayarı ile bir ev bilgisayarı arasında dosyaları senkronize etmek için kullanmasıydı, çünkü Kasım 2025'ten bu yana düzenli olarak bu depoya bağlıydı" dedi. "Bu, herhangi bir şirket için utanç verici bir sızıntı olabilir, ancak bu durumda daha da fazla, çünkü bu CISA."