Учетные данные CISA просочились в общедоступный репозиторий GitHub

В результате серьезного инцидента безопасности, который подчеркивает исключительную важность надлежащего управления учетными данными, американское Агентство по кибербезопасности и безопасности инфраструктуры (CISA) подверглось серьезному нарушению конфиденциальных административных учетных данных. Исследователь безопасности Брайан Кребс недавно сообщил, что федеральное агентство случайно раскрыло значительную коллекцию паролей в виде открытого текста, закрытых ключей SSH, токенов аутентификации и других конфиденциальных активов CISA через общедоступный репозиторий GitHub. Воздействие действовало в течение длительного периода, и имеются данные, свидетельствующие о том, что хранилище оставалось видимым для общественности как минимум с ноября 2025 года.

Обнаружение этого инцидента раскрытия учетных данных подчеркивает тревожный разрыв между обязанностями по обеспечению безопасности, ожидаемыми от государственного агентства по кибербезопасности, и фактическими применяемыми методами работы. Репозиторий, о котором идет речь, получил название «Private-CISA», что демонстрирует ироническое несоответствие между предполагаемой целью — сохранением конфиденциальности материалов — и фактическим результатом обнародования конфиденциальной информации. С тех пор репозиторий был отключен от сети, но не раньше, чем его потенциально могли обнаружить и использовать злоумышленники в те месяцы, когда он оставался доступным.

Предупреждение о скомпрометированном репозитории поступило от GitGuardian, компании, специализирующейся на решениях для обнаружения секретов и безопасности кода. Гийом Валадон, исследователь GitGuardian, обнаружил открытый репозиторий в ходе непрерывного сканирования общедоступного кода компании. Механизм обнаружения Valadon представляет собой тип автоматизированного наблюдения, который выявляет сбои в системе безопасности до того, как о них узнают администраторы. Обнаружив нарушение, Valadon попытался напрямую связаться с владельцем хранилища, но не получил ответа от представителей CISA относительно раскрытых учетных данных.

Согласно переписке Валадона и Кребса, ситуация стала значительно более тревожной после изучения истории коммитов репозитория. Данные журналов git показывают, что встроенные в GitHub механизмы секретной защиты — функции, специально разработанные для предотвращения случайной передачи конфиденциальной информации разработчиками — были намеренно отключены администратором репозитория. Это говорит о том, что нарушение было не просто недосмотром, а скорее преднамеренным обходом тех самых мер безопасности, которые GitHub предоставляет для защиты именно от такого типа сбоев в системе безопасности.

Последствия этой нарушения учетных данных AWS GovCloud существенны для федеральной инфраструктуры безопасности. Открытые учетные данные включали токены аутентификации для сервисов AWS GovCloud, что означает потенциальный несанкционированный доступ к облачной инфраструктуре, используемой федеральным правительством. Приватные ключи SSH, если они будут скомпрометированы, могут позволить злоумышленникам напрямую получить доступ к удаленным системам. Пароли в виде открытого текста, хранящиеся в репозиториях исходного кода, представляют собой фундаментальное нарушение лучших практик безопасности и создают множество путей для несанкционированного доступа к критически важным системам.

Этот инцидент поднимает серьезные вопросы о культуре безопасности и практике обучения в CISA — организации, которая несет значительную ответственность за консультирование других федеральных агентств и организаций частного сектора по вопросам кибербезопасности. Сбои в обеспечении безопасности самой организации подрывают ее авторитет как надежного органа в вопросах безопасности инфраструктуры. Когда агентство, которому поручено защищать важнейшую инфраструктуру Америки, не может обеспечить свои собственные полномочия, оно вызывает обеспокоенность по поводу эффективности своих рекомендаций другим организациям.

Сроки разоблачения вызывают особое беспокойство, поскольку учетные данные оставались доступными в течение нескольких месяцев, прежде чем были обнаружены и опубликованы. В течение этого периода у различных субъектов угроз – от отдельных хакеров до сложных государственных структур – существовало множество возможностей получить доступ к раскрытым секретам и использовать их. Фактический масштаб взлома остается неясным, поскольку очень сложно определить, были ли учетные данные обнаружены и использованы неавторизованными сторонами.

Функции секретной защиты GitHub, которые в данном случае были отключены, служат последней линией защиты от ошибок в учетных данных разработчика. Эти средства защиты предупреждают пользователей, когда они пытаются зафиксировать определенные шаблоны, обычно связанные с секретами, например ключи AWS, частные криптографические ключи или токены аутентификации. Отключив эти средства защиты, администратор хранилища устранил фундаментальную защиту, разработанную специально для сценариев, в которых человеческая бдительность может оказаться неэффективной.

Этот инцидент иллюстрирует более широкую картину нарушений безопасности в государственных технологических практиках. Несмотря на значительные инвестиции в инфраструктуру кибербезопасности и создание специализированных агентств, таких как CISA, базовые меры оперативной безопасности иногда игнорируются или активно обходятся. Этот разрыв между обязанностями по обеспечению безопасности и реальными практиками обеспечения безопасности представляет собой постоянную проблему для федеральных программ информационной безопасности.

В ответ на раскрытие информации CISA удалила скомпрометированный репозиторий из публичного доступа. Однако давний характер разоблачения означает, что любые учетные данные, содержащиеся в нем, могут быть уже скомпрометированы и требуют немедленной замены. Организации, использующие учетные данные аналогичным образом, сталкиваются с сопоставимыми рисками, и этот инцидент служит предостережением об опасностях отключения средств безопасности, предназначенных для предотвращения именно этих типов сбоев.

Более широкое сообщество безопасности подчеркнуло важность максимально серьезного отношения к управлению секретами. Переменные среды, файлы конфигурации и системы управления секретами следует использовать для хранения учетных данных отдельно от исходного кода. Кроме того, принципы минимальных привилегий гарантируют, что даже если учетные данные будут скомпрометированы, потенциальный ущерб будет сведен к минимуму за счет ограничения разрешений доступа.

Этот инцидент усиливает острую необходимость для организаций на всех уровнях государственного управления и в отрасли поддерживать строгие меры безопасности, включая регулярные проверки контроля доступа к хранилищу, отключение механизмов защиты и практики управления учетными данными. Последствия несоблюдения этих основных правил гигиены безопасности могут быть серьезными, особенно для организаций, отвечающих за защиту важнейших интересов национальной безопасности инфраструктуры.