CISA'nın GitHub Sızıntısı: Şifreler ve Bulut Erişim Anahtarları Nasıl Sızdı? Yazılım

CISA'nın GitHub Sızıntısı: Şifreler ve Bulut Erişim Anahtarları Nasıl Sızdı?

CISA, bir yüklenicinin GitHub üzerinden şifreleri ve AWS bulut erişim anahtarlarını sızdırmasına yol açan güvenlik zafiyetlerini ve alınan dersleri aç

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), geçtiğimiz günlerde yayımladığı bir raporda, bir yüklenicinin kişisel GitHub hesabı üzerinden hassas kimlik bilgilerini sızdırmasına neden olan güvenlik açıklarını detaylandırdı. Raporda, yüklenicinin CISA'nın derleme ve dağıtım deposunu kendi GitHub hesabına kopyalayarak bulut altyapısını otomatik oluşturmak istediği, ancak bu süreçte yönetici ve derleme kimlik bilgilerinin yanı sıra Amazon Web Services (AWS) gibi hizmetlerin özel erişim anahtarlarını da yanlışlıkla yüklediği belirtildi.

Olay, bağımsız güvenlik gazetecisi Brian Krebs'in Mayıs ayında yaptığı bir haberle ortaya çıktı. Krebs, sızıntının hükümet yüklenicisi Nightwing'den kaynaklandığını bildirdi. Bu haber, Kongre üyelerinin CISA'dan açıklama talep etmesiyle birlikte büyük bir inceleme fırtınası başlattı. CISA'nın olay sonrası rapor yayımlaması, ajansın sistemlerinin güvenli olduğunu ve gerekli iyileştirmeleri yaptığını kanıtlama çabası olarak değerlendirildi.

CISA, sızıntıyı Krebs'in haberi için yorum talebinde bulunmasıyla öğrendiğini ve hemen "hızlı ve kapsamlı" önlemler aldığını açıkladı. Yüklenicinin GitHub deposu kapatıldı ve CISA sistemlerine erişimi iptal edildi. Log dosyalarının analizi sonucunda, sızdırılan kimlik bilgilerinin yetkisiz kullanımının olmadığı ve "müşteri veya görev verilerinin açığa çıkmadığı" tespit edildi.

Gelecekte Ne Bekleniyor?

Ajans, yüklenicinin erişimi olan tüm geliştirme ortamlarındaki şifreleri, sadece sızdırılanlarla sınırlı kalmayarak güncelledi. Ayrıca sızdırılan bulut erişim anahtarlarını da yeniledi, ancak bu sürecin "CISA'nın sistemlerinin karmaşıklığı ve federal ile endüstri ortaklarıyla olan bağlantılar nedeniyle beklenenden uzun sürdüğü" itiraf edildi. CISA ayrıca kod depoları için izin verme ve engelleme listelerini güncelledi ve gelecekteki sızıntıları önlemek için personelin verileri herkese açık depolara yüklemesini engelledi.

Raporun büyük bir kısmı, olayın CISA'nın iyi yaptığı şeyleri ve geliştirilmesi gereken alanları nasıl ortaya çıkardığına ayrılmış. Kapsamlı loglar sayesinde kimlik bilgilerinin kötüye kullanımı ve izinsiz girişlerin olmadığı doğrulanabilmiş, ancak her kuruluşun log kapsamını ve karmaşıklığını sürekli iyileştirmesi gerektiği vurgulanmış. AWS güvenlik anahtarları gibi bulut erişim "sırlarının" açığa çıkması, CISA'nın önemli bir gözden kaçırma hatası olarak değerlendirilmiş ve ajans bu başarısızlığı kabul etmiştir. "Hiçbir depo sır içermemeli, ancak sırlar CISA'nın özel depolarına girmiştir," ifadesiyle durum özetlenmiştir.

Sonuç ve Değerlendirme

CISA, yıllardır kuruluşları farklı olay türlerine yanıt vermek için oyun kitapları oluşturmaya teşvik etmesine rağmen, kendisinin GitHub üzerinden bir bulut güvenlik sızıntısı için bir oyun kitabına sahip olmadığını itiraf etmiştir. Bu nedenle, olayın erken aşamalarında bir tane oluşturmak zorunda kaldıklarını belirtmişlerdir. Ayrıca, sızıntıyı keşfeden güvenlik araştırmacısının CISA ile nasıl iletişime geçeceğini bilemeyip basına yönelmesi, ajansın kendi teknolojisiyle ilgili olayları bildirmek için net kanallar oluşturmadaki başarısızlığını gözler önüne sermiştir. CISA, bu belirsizliği gidermek için raporlama kanallarını araştırmacıların daha kolay ve hızlı kullanabileceği şekilde iyileştirdiğini duyurmuştur.

CISA, GitHub sızıntısına verdiği yanıtı detaylandırarak, diğer kuruluşların da benzer durumlarda aynı şeffaflıkla hareket etmesini umduğunu belirtmiştir. "Siber güvenlik olayının kuruluşunuzun başına gelip gelmeyeceği değil, ne zaman geleceği meselesidir," diyen ajans, "Güveni güçlendirmek ve şeffaflığı teşvik etmek için bu konuları açıkça ele almanın daha geniş siber güvenlik topluluğu için önemli olduğunu" vurgulamıştır. Bu olay, güvenlik açıklarının proaktif yönetimi ve etkili olay müdahale planlarının kritik önemini bir kez daha ortaya koymuştur.

Kaynak: cybersecuritydive.com

Paylaş: