Інцидент із випадковим оприлюдненням секретних даних Агенцією з кібербезпеки та захисту інфраструктури США (CISA) на платформі GitHub викликає серйозні питання щодо протоколів безпеки в одній з ключових організацій, відповідальних за захист критичної інфраструктури Сполучених Штатів. Протягом шести місяців цифрові ключі та паролі, деякі з яких перебували у відкритому вигляді, зберігалися у публічному репозиторії, як повідомив журналіст-розслідувач Браян Кребс, посилаючись на дослідження компанії GitGuardian.
Компанія GitGuardian, яка спеціалізується на моніторингу публічних репозиторіїв GitHub для виявлення випадково опублікованих конфіденційних даних, виявила, що CISA не одразу відреагувала на виявлені вразливості, незважаючи на надзвичайну чутливість інформації. Репозиторій, який мав красномовну назву “Private-CISA”, містив внутрішні облікові дані як самої агенції, так і Міністерства внутрішньої безпеки США, включаючи хмарні ключі, токени, журнали, резервні копії та паролі, що були доступні без будь-яких обмежень.
Дослідники GitGuardian встановили, що адміністратор репозиторію навмисно вимкнув вбудовані механізми GitHub, які за замовчуванням блокують публікацію SSH-ключів та інших секретів, що свідчить про обізнаність про потенційні ризики та свідоме їх ігнорування. Гійом Валадон, дослідник GitGuardian, описав витік як “найгірший витік з тих, що я бачив”, підкресливши наявність паролів у вигляді звичайного тексту в CSV-файлах, резервних копій у Git та явних команд для вимкнення функцій виявлення секретної інформації.
Аналіз витоку даних
Серед виявлених файлів був “importantAWStokens”, який містив ключі доступу до трьох серверів Amazon AWS GovCloud, а також “AWS-Workspace-Firefox-Passwords.csv”, що зберігав десятки логінів і паролів до внутрішніх систем CISA. Філіп Катурельї, засновник консалтингової компанії з питань безпеки Seralys, підтвердив, що ці ключі були дійсними і надавали високорівневий доступ до урядових AWS-акаунтів.
“Це ідеальна точка для проникнення в системи. Достатньо вбудувати бекдор у пакет і він автоматично потраплятиме у нові продукти під час збірки”, – пояснив Катурельї, підкреслюючи потенціал для подальших атак.
Реакція CISA та подальші кроки
Речник CISA заявив, що агенція усвідомлює інцидент, проводить внутрішнє розслідування та вживає додаткових заходів для запобігання подібним випадкам у майбутньому, запевнивши, що наразі немає ознак компрометації конфіденційних даних.
Розслідування виявило, що репозиторій було створено 13 листопада 2025 року від імені співробітника компанії-підрядника Nightwing. Дослідники також відзначили, що підрядник використовував надто прості паролі, часто складаючись з назви платформи та поточного року, що свідчить про систематичні недоліки в політиці управління обліковими даними.
Іронічно, але доступ до репозиторію було закрито лише минулими вихідними, тоді як сам репозиторій було створено в листопаді минулого року. AWS-ключі залишалися активними ще 48 годин після звернення дослідників, незважаючи на видалення GitHub-акаунту.
Контекст та історична довідка
CISA, створена у 2018 році, є відносно новою структурою в складі Міністерства внутрішньої безпеки США. Однак, зважаючи на історичний контекст, варто зазначити, що агентство зазнало значних кадрових та бюджетних скорочень, що могло вплинути на його операційну ефективність та безпекові протоколи.
Цей інцидент підкреслює необхідність постійного перегляду та вдосконалення політик кібербезпеки, особливо в організаціях, що зберігають критично важливу інформацію.
Додаткова інформація
- CISA (Cybersecurity and Infrastructure Security Agency) є провідною агенцією уряду США, відповідальною за захист національної кібербезпеки та інфраструктури.
- GitHub є однією з найпопулярніших платформ для хостингу програмного коду та спільної розробки, але також може стати джерелом витоку даних при неналежному використанні.
- Amazon Web Services (AWS) є провідним постачальником хмарних обчислень, який використовується багатьма урядовими установами.
Постійна пильність та впровадження найсучасніших методів захисту даних є необхідними для запобігання подібним інцидентам у майбутньому.
