ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), geçtiğimiz aylarda bir yüklenicinin kamuya açık bir GitHub deposunda 844 MB hassas veriyi neredeyse altı ay boyunca ifşa etmesiyle sarsıldı. Sızıntı, AWS GovCloud yönetici kimlik bilgilerinden düzinelerce iç sistem kullanıcı adı ve şifresine kadar kritik bilgileri içeriyordu. CISA'nın olay sonrası yayımladığı postmortem raporu, kurumsal siber güvenlik ekiplerinin alması gereken önemli derslerle dolu.
Sızıntının boyutu oldukça genişti: 'Private CISA' adlı depoda 'importantAWStokens' dosyasıyla üç AWS GovCloud sunucusunun yönetici kimlik bilgileri, 'AWS-Workspace-Firefox-Passwords.csv' dosyasıyla da düzinelerce iç sistemin düz metin kullanıcı adı ve şifreleri yer alıyordu. Güvenlik firması GitGuardian, 15 Mayıs 2026'da CISA'yı uyarmak için KrebsOnSecurity'den yardım istedi. CISA uyarıyı hemen kabul etse de, AWS anahtarlarını ve diğer sırları geçersiz kılmak 48 saatten fazla sürdü. CISA, bu gecikmeyi sistemlerinin karmaşıklığına ve federal ortaklarla olan bağlantılarına bağladı.
CISA'nın raporunda vurguladığı ilk ders, olgun ve iyi test edilmiş anahtar yönetimi yeteneklerinin gerekliliği. Kurum, 'Bu deneyimden yola çıkarak, herkesi olgun ve iyi test edilmiş anahtar yönetimi yeteneklerine sahip olmaya teşvik ediyoruz' dedi. Özellikle bulut ortamlarında kullanılan API anahtarları ve erişim token'larının hızlıca döndürülebilmesi için otomasyon ve acil durum prosedürlerinin önceden hazırlanması gerekiyor. CISA'nın yaşadığı gecikme, manuel müdahale ve koordinasyonun yetersiz kaldığını gösteriyor.
Sistem Güvenliği
İkinci kritik ders, güvenlik ihlali bildirim kanallarının netleştirilmesi. CISA, dışarıdan gelen bildirimlerin kurumun kendisini mi yoksa ürünlerini/müşterilerini mi etkilediğini ayırt edecek kanalların olmadığını itiraf etti. Güvenlik araştırmacısı, CISA'yı uyarmak için önce yükleniciye e-posta gönderdi, ardından CISA'nın güvenlik açığı bildirim platformunu kullandı (bu platform aslında genel siber güvenlik topluluğuna yönelikti) ve sonunda bir gazeteciye ulaştı. CISA, araştırmacılar için daha kolay ve hızlı bildirim kanalları oluşturacağını ve security.txt dosyasının yanı sıra birden fazla yerde bildirim talimatları yayınlayacağını belirtti.
Üçüncü ders, sürekli sır taramanın önemi. GitGuardian araştırmacısı Guillaume Valadon, CISA'nın sızıntıdan önce dokuz otomatik uyarıyı yanıtsız bıraktığını ortaya çıkardı. Valadon, 'Dokuz bildirim e-postasının yanıtsız kalması, bir günlük bir olayı altı aylık bir ifşaya dönüştürür' dedi. CISA'nın raporu, üç aylık periyodik taramaların yeterli olmadığını, sürekli taramanın şart olduğunu gösteriyor. Ayrıca, dahili taramalar düz metin şifreleri ve commit edilmiş yedekleri daha erken yakalayabilirdi.
Gelecekte Ne Bekleniyor?
CISA, olay müdahale planında GitHub ve diğer bulut hizmetlerine yönelik bir prosedür bulunmadığını kabul etti. Bu, dördüncü ders: Olay müdahale playbook'larının sadece geleneksel ağ güvenliği olaylarını değil, aynı zamanda bulut depolama ve kod havuzu sızıntılarını da kapsayacak şekilde güncellenmesi. CISA, olaydan sonra tüm sırları döndürdü ve geliştirici sır yönetimini iyileştirmek için bir eylem planı oluşturdu.
Olumlu tarafı, CISA'nın gelişmiş günlük kaydı ve sıfır güven ilkeleri sayesinde sızıntının kapsamını hızlıca değerlendirebildiği ve müşteri/mission verilerinin ifşa olmadığını kanıtlayabildiği belirtiliyor. Ayrıca, sızdırılan kimlik bilgilerinin CISA dışında kullanılmadığı tespit edildi. Yüklenicinin sistem erişimi iptal edildi. Valadon, CISA'nın şeffaflığını överek, 'Bildiğim kadarıyla, ulusal bir siber güvenlik ajansının ilk kez sır taramayı ve güvenlik araştırmacılarıyla ilişkileri basitleştirmeyi kamuoyuna savunması' dedi.
Teknik Analiz
Sonuç olarak, CISA'nın bu olaydan çıkardığı dersler tüm kurumlar için geçerli: Anahtar yönetimini olgunlaştırın, bildirim kanallarını netleştirin, sürekli sır taraması yapın, olay müdahale planlarını bulut hizmetlerini kapsayacak şekilde güncelleyin ve en önemlisi, güvenlik araştırmacılarıyla işbirliğini kolaylaştırın. CISA'nın postmortem raporu, bir kurumun hatalarından nasıl ders çıkarabileceğine dair mükemmel bir örnek teşkil ediyor.
Kaynak: krebsonsecurity.com