Американське агентство з кібербезпеки CISA викрило купи паролів держресурсів та хмарних ключів у відкритому доступі
Американське агентство з кібербезпеки CISA, можливо, уникнуло значного порушення безпеки завдяки добросовісному досліднику з безпеки, який виявив публічно розкриті облікові дані, що дозволяли доступ до урядової хмари та внутрішніх систем агентства.
Як вперше повідомив незалежний журналіст з питань безпеки Браян Кребс, дослідник безпеки GitGuardian Гійом Валадон виявив купу розкритих облікових даних у відкритому тексті, перелічених у електронних таблицях, які були опубліковані у репозиторії GitHub співробітником підрядника CISA.
Валадон повідомив Кребсу, що розкриті облікові дані використовувалися для доступу до систем, що належать CISA та її материнському агентству, Міністерству внутрішньої безпеки. Валадон сказав, що облікові дані містили токени доступу, хмарні ключі та інші конфіденційні файли. Валадон сказав Кребсу, що він перевірив деякі ключі, щоб переконатися в їх дійсності.
Потім він повідомив про цей збій Кребсу, оскільки підрядник CISA, який підтримував середовище GitHub, не відреагував на їхні сповіщення.
Цей провал у безпеці особливо ганебний для CISA, оскільки це урядове агентство США відповідає за кібербезпеку в цивільній федеральній мережі. Організація також консультує щодо найкращих практик кібербезпеки, що включає зберігання паролів у захищених менеджерах паролів, а не в незахищених електронних таблицях.
Незрозуміло, чи хтось, окрім Валадона, знайшов або використав облікові дані. Коли TechCrunch зв’язався з речником CISA Марко ДіСандро, він сказав, що агентство «знає про повідомлення про викриття та продовжує розслідувати ситуацію», і що «немає жодних ознак того, що будь-які конфіденційні дані були скомпрометовані в результаті цього інциденту».
CISA не повідомила, чи бачила відомство якісь докази порушення, що виникло внаслідок цього викриття. TechCrunch запитав, чи відомство відкликало та замінило розкриті облікові дані після інциденту.
Хоча інцидент пов'язаний зі співробітником підрядника CISA, CISA несе остаточну відповідальність за безпеку власної мережі та систем, включаючи підрядників, які працюють в агентстві.
CISA не має постійного директора з 20 січня 2025 року, коли тодішня директорка CISA Джен Істерлі пішла у відставку напередодні початку роботи нової адміністрації Трампа. CISA також втратила близько третини своєї робочої сили через скорочення, відпустки та звільнення з моменту вступу Трампа на посаду.