CISA رمزهای عبور و کلیدهای ابری را در یک مخزن عمومی GitHub افشا کرد.
CISA در حال بررسی یک افشای اطلاعات ورود (credential exposure) است که در آن رمزهای عبور، توکنهای دسترسی و کلیدهای ابری مرتبط با سیستمهای این آژانس در یک مخزن GitHub بهصورت عمومی قابل دسترسی بودهاند. این مشکل که ابتدا توسط برایان کربس، خبرنگار مستقل امنیتی، و سپس توسط TechCrunch گزارش شد، ظاهراً از یک مخزن متعلق به یکی از کارمندان پیمانکار CISA سرچشمه گرفته است.
بر اساس گزارشها، گیوم والادون، محقق GitGuardian، صفحات گستردهای شامل اطلاعات ورود بهصورت متن ساده (plaintext) پیدا کرد که میتوانست برای دسترسی به سیستمهای مرتبط با CISA و وزارت امنیت داخلی استفاده شود. والادون گفت که قبل از گزارش مشکل، حداقل برخی از این اطلاعات را معتبر تأیید کرده است. این جزئیات مهم است: این فقط دادههای قدیمی و ناقص یا مواد آزمایشی کهنه در یک مخزن فراموششده نبود. بلکه اطلاعات دسترسی زندهای بود که در وب آزاد قرار گرفته بود.
سوال فوری این است که آیا غیر از این محقق، شخص دیگری قبل از گزارش، این اطلاعات را پیدا کرده و از آن استفاده کرده است؟ تا زمان انتشار این مطلب، CISA بهطور عمومی اعلام نکرده که آیا شواهدی از نفوذ بعدی (follow-on intrusion) مرتبط با این افشا وجود دارد یا خیر. با این حال، این حادثه به خودی خود جدی است. CISA آژانس فدرالی است که وظیفه بهبود دفاع سایبری در شبکههای دولتی غیرنظامی را بر عهده دارد و معمولاً به سازمانهای دیگر توصیه میکند دقیقاً از این نوع عملکردها اجتناب کنند.
مشکل بزرگتر حکمرانی (governance) است، نه فقط یک مخزن ناقص. سیستمهای مدرن دولتی به شدت به پیمانکاران، محیطهای ابری مشترک و زنجیرههای دسترسی گسترده وابسته هستند که مدیریت اسرار (secrets management) را سختتر میکند. وقتی اطلاعات ورود در صفحات گسترده به جای یک جریان کاری مناسب مدیریت اسرار (secrets-management workflow) مدیریت میشود، شکست به ندرت محدود به یک نفر است. معمولاً به ضعف کنترلهای بازبینی، نظم عملیاتی ضعیف، یا هر دو اشاره دارد.
این اتفاق همچنین در زمان نامناسبی برای این آژانس رخ داده است. CISA از اوایل سال 2025 بدون مدیر دائمی فعالیت میکند و کاهش اخیر نیروی کار نگرانیهایی را در مورد میزان ظرفیت نظارتی باقیمانده در این سازمان ایجاد کرده است. این ثابت نمیکند که افشا ناشی از کمبود نیرو بوده است، اما مخاطرات سیاسی و عملیاتی را افزایش میدهد. آژانسی که مسئول تعیین لحن امنیت سایبری فدرال است، نمیتواند اشتباهات عمومی که اینقدر قابل اجتناب به نظر میرسند را بپردازد.
برای تیمهای امنیتی خارج از دولت، این درس آشناست اما همچنان به طور معمول نادیده گرفته میشود: اسرار (secrets) هرگز نباید در اسناد متن ساده (plaintext) که میتوانند به سیستمهای کنترل نسخه (source-control)، درایوهای مشترک یا خروجیهای مدیریتنشده وارد شوند، زندگی کنند. چرخش (rotation)، دسترسی حداقل (least-privilege access)، اسکن مخازن (repository scanning) و کنترلهای خاص پیمانکاران همگی دفاعهای اولیه هستند، اما تنها زمانی کار میکنند که به طور مداوم اعمال شوند.
IRCNF ارزیابی خود را بر اساس گزارش TechCrunch از این حادثه و گزارش اصلی کربس انجام داده است. تا زمانی که CISA فاش نکند که آیا کلیدهای افشا شده مورد سوءاستفاده قرار گرفتهاند یا خیر، این داستان را باید به عنوان یک افشای جدی با پیامدهای بالقوه بزرگتر در نظر گرفت، نه یک نقض مخرب تأییدشده.
Originally reported by TechCrunch. Read the original article for additional details.
View original source