CISA випадково відкрила доступ до секретних урядових систем США через GitHub

Американське агентство з кібербезпеки CISA опинилося в центрі гучного скандалу після того, як у відкритому GitHub-репозиторії виявили секретні ключі доступу до урядових AWS GovCloud-серверів, внутрішніх систем та десятки паролів у відкритому вигляді. Експерти вже назвали цей інцидент одним із найсерйозніших витоків даних в історії американських державних структур. Повідомляє NNews із посиланням на KrebsOnSecurity.

Що саме потрапило у відкритий доступ

Проблемний репозиторій мав назву “Private-CISA”. У ньому дослідники знайшли:

• ключі доступу до AWS GovCloud;
• токени та SSH-ключі;
• резервні копії;
• CSV-файли з логінами та паролями;
• внутрішню документацію CISA;
• дані про процеси розробки та розгортання програмного забезпечення.

За словами фахівця GitGuardian Гійома Валадона, частина паролів зберігалася у відкритому вигляді, а адміністратор навіть вимкнув у GitHub функцію автоматичного виявлення секретних ключів.

Чому це особливо небезпечно

AWS GovCloud — це ізольоване хмарне середовище Amazon, яке використовують урядові структури США для роботи з чутливими даними. Потрапляння таких ключів у публічний доступ потенційно відкриває шлях до внутрішніх державних систем.

Експерт з кібербезпеки Філіпп Катурельї підтвердив, що ключі були дійсними та дозволяли отримати високорівневий доступ до кількох GovCloud-акаунтів.

Окреме занепокоєння викликали доступи до внутрішнього “artifactory” — системи, де зберігаються пакети програмного забезпечення для створення нових продуктів CISA. У разі компрометації зловмисники могли б вбудовувати бекдори у програмне забезпечення ще на етапі розробки.

Як це могло статися

За попередніми даними, репозиторій підтримував співробітник підрядної компанії Nightwing. Дослідники припускають, що GitHub використовувався як “тимчасове сховище” для синхронізації файлів між домашнім та робочим комп’ютерами.

Ще більш тривожним виглядає той факт, що деякі паролі були надзвичайно простими — наприклад, складалися з назви сервісу та поточного року.

CISA вже відреагувала

У CISA заявили, що наразі немає ознак компрометації даних, однак агентство проводить розслідування та впроваджує додаткові заходи захисту.

Після звернення журналістів та експертів GitHub-акаунт швидко видалили. Проте, за словами дослідників, частина AWS-ключів залишалася активною ще близько 48 годин після виявлення проблеми.

Чому це важливо

Інцидент став болючим ударом по репутації CISA — структури, яка відповідає за кібербезпеку критичної інфраструктури США. Особливо на тлі скорочення бюджету та втрати майже третини персоналу агентства останніми роками.

Ця історія також демонструє головну проблему сучасної кібербезпеки: навіть найдорожчі системи захисту можуть виявитися безсилими через людську помилку.