CISA'nın GitHub Sızıntısı: Yasa Koyucular Hesap Soruyor, Ajans Hâlâ Hasarı Kontrol Altına Alamadı Siber Güvenlik

CISA'nın GitHub Sızıntısı: Yasa Koyucular Hesap Soruyor, Ajans Hâlâ Hasarı Kontrol Altına Alamadı

CISA'nın bir yüklenicisi, kamuya açık GitHub hesabına kurum sırlarını yükledi. Kongre üyeleri yanıt beklerken, ajans sızdırılan anahtarları geçersiz k

ABD Kongresi'nin her iki kanadından yasa koyucular, Siber Güvenlik ve Altyapı Güvenliği Ajansı'ndan (CISA) yanıt bekliyor. KrebsOnSecurity'nin haberine göre, bir CISA yüklenicisi, AWS GovCloud anahtarları ve ajansa ait çok sayıda gizli bilgiyi kamuya açık bir GitHub hesabında yayınladı. Soruşturma devam ederken, CISA hâlâ ihlali kontrol altına almaya ve sızdırılan kimlik bilgilerini geçersiz kılmaya çalışıyor.

18 Mayıs'ta yayınlanan haberde, CISA'nın kod geliştirme platformuna yönetici erişimi olan bir yüklenicinin 'Private-CISA' adlı bir GitHub profili oluşturduğu ve bu profile düzinelerce iç CISA sistemine ait düz metin kimlik bilgilerini eklediği belirtildi. Uzmanlar, yüklenicinin GitHub'ın hassas kimlik bilgilerinin yayınlanmasını önleyen yerleşik korumasını devre dışı bıraktığını tespit etti. CISA sızıntıyı kabul etti ancak verilerin ne kadar süreyle açık kaldığına dair soruları yanıtlamadı.

Senatör Maggie Hassan (D-NH) ve Temsilci Bennie Thompson (D-MS) gibi yasa koyucular, bu güvenlik açığının CISA'nın iç politikaları ve prosedürlerine ilişkin ciddi soruları gündeme getirdiğini belirtti. Özellikle, Trump yönetiminin ajans genelinde zorunlu erken emeklilik, satın alma ve istifaları tetiklemesinin ardından CISA'nın iş gücünün üçte birinden fazlasını ve kıdemli liderlerinin neredeyse tamamını kaybettiği bir dönemde bu ihlalin yaşanması endişeleri artırdı.

Teknik Analiz

KrebsOnSecurity, CISA'nın güvenlik firması GitGuardian tarafından sızıntı konusunda uyarılmasından bir haftadan uzun süre sonra bile ajansın hâlâ sızdırılan anahtarların çoğunu geçersiz kılmak ve değiştirmek için çalıştığını öğrendi. TruffleHog'un yaratıcısı Dylan Ayrey, CISA'nın GitHub kurumsal hesabına tam erişim sağlayan bir RSA özel anahtarını geçersiz kılmadığını, ancak bildirimden sonra bu anahtarı iptal ettiğini söyledi. Ayrey, siber suç gruplarının veya yabancı düşmanların bu sırların yayınlanmasını fark etmiş olabileceği uyarısında bulundu.

Paylaş: