CISA Kimlik Bilgileri Herkese Açık GitHub Repo'da Sızdırıldı

Doğru kimlik bilgileri yönetiminin kritik önemini vurgulayan önemli bir güvenlik olayında, Amerika'nın Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), hassas idari kimlik bilgilerinin büyük bir ihlaliyle karşı karşıya kaldı. Güvenlik araştırmacısı Brian Krebs kısa süre önce federal kurumun kamuya açık bir GitHub deposu aracılığıyla önemli miktarda düz metin şifresi, SSH özel anahtarı, kimlik doğrulama belirteci ve diğer hassas CISA varlıkları koleksiyonunu yanlışlıkla açığa çıkardığını bildirdi. Açığa çıkma uzun bir süredir aktif ve veri deposunun en az Kasım 2025'ten bu yana kamuya açık kaldığını gösteren kanıtlar var.

Bu kimlik bilgilerinin açığa çıkması olayının keşfedilmesi, bir devlet siber güvenlik kurumundan beklenen güvenlik sorumlulukları ile uygulanan fiili operasyonel uygulamalar arasındaki rahatsız edici uçurumun altını çiziyor. Söz konusu depoya "Özel-CISA" adı verildi; bu, amaçlanan amaç (materyallerin gizli tutulması) ile hassas bilgilerin kamuya açık hale getirilmesinin gerçek sonucu arasındaki ironik kopukluğu ortaya koyuyor. Depo o zamandan beri çevrimdışına alındı, ancak erişilebilir kaldığı aylar boyunca potansiyel olarak keşfedilip kötü niyetli aktörler tarafından istismar edilmeden önce değil.

Ele geçirilen depoyla ilgili uyarı, gizli tespit ve kod güvenliği çözümlerinde uzmanlaşmış bir şirket olan GitGuardian'dan geldi. GitGuardian'da araştırmacı olan Guillaume Valadon, açığa çıkan depoyu şirketin sürekli kamu kodu tarama operasyonları aracılığıyla keşfetti. Valadon'un keşif mekanizması, güvenlik hatalarını, insan yöneticiler farkına varmadan önce tanımlayan otomatik gözetim türünü temsil eder. İhlalin farkına vardıktan sonra Valadon, veri deposunun sahibiyle doğrudan iletişime geçmeyi denedi ancak açığa çıkan kimlik bilgileriyle ilgili olarak CISA temsilcilerinden herhangi bir yanıt alamadı.

Valadon ile Krebs arasındaki yazışmalara göre, deponun taahhüt geçmişi incelendiğinde durum çok daha sıkıntılı hale geldi. Git günlüklerinden elde edilen kanıtlar, GitHub'ın yerleşik gizli koruma mekanizmalarının (geliştiricilerin yanlışlıkla hassas bilgileri işlemesini engellemek için özel olarak tasarlanmış özellikler) veri havuzunun yöneticisi tarafından kasıtlı olarak devre dışı bırakıldığını gösteriyor. Bu, ihlalin yalnızca bir gözetimden değil, GitHub'un tam olarak bu tür güvenlik hatalarına karşı koruma sağlamak için sağladığı güvenlik önlemlerinin kasıtlı olarak atlatılmasından kaynaklandığını gösteriyor.

Bu AWS GovCloud kimlik bilgisi ihlalinin sonuçları federal güvenlik altyapısı açısından oldukça önemlidir. Açığa çıkan kimlik bilgileri, AWS GovCloud hizmetlerine yönelik kimlik doğrulama belirteçlerini içeriyordu; bu da federal hükümet tarafından kullanılan bulut altyapısına olası yetkisiz erişim anlamına geliyor. SSH özel anahtarları ele geçirilirse saldırganların uzak sistemlere doğrudan erişmesine olanak tanıyabilir. Kaynak kodu depolarında saklanan düz metin şifreler, en iyi güvenlik uygulamalarının temelden ihlalini temsil eder ve kritik sistemlere yetkisiz erişim için birden fazla yol oluşturur.

Bu olay, diğer federal kurumlara ve özel sektör kuruluşlarına siber güvenlik konularında danışmanlık yapma konusunda önemli sorumluluk taşıyan bir kuruluş olan CISA'nın güvenlik kültürü ve eğitim uygulamaları hakkında ciddi soruları gündeme getiriyor. Kuruluşun kendi güvenlik başarısızlıkları, altyapı güvenliği uygulamaları konusunda güvenilir bir otorite olarak güvenilirliğini zayıflatıyor. Amerika'nın kritik altyapısını korumakla görevli kurum kendi kimlik bilgilerini güvence altına alamayınca, diğer kuruluşlara verdiği rehberliğin etkinliği konusunda endişeler ortaya çıkıyor.

Kimlik bilgileri keşfedilip raporlanmadan önce aylarca erişilebilir kaldığından, ifşanın zaman çizelgesi özellikle endişe verici. Bu pencere sırasında, bireysel bilgisayar korsanlarından karmaşık ulus devlet kuruluşlarına kadar çeşitli tehdit aktörlerinin açığa çıkan sırlara erişmesi ve bunları kullanması için çok sayıda fırsat mevcuttu. Kimlik bilgilerinin yetkisiz taraflarca keşfedilip kullanılıp kullanılmadığını belirlemek oldukça zor olduğundan, ihlalin gerçek kapsamı hala belirsizliğini koruyor.

GitHub'ın bu durumda devre dışı bırakılan gizli koruma özellikleri, geliştirici kimlik bilgisi hatalarına karşı kritik bir son savunma hattı işlevi görüyor. Bu korumalar, AWS anahtarları, özel şifreleme anahtarları veya kimlik doğrulama belirteçleri gibi genellikle sırlarla ilişkilendirilen belirli kalıpları işlemeye çalıştıklarında kullanıcıları uyarır. Depo yöneticisi, bu korumaları devre dışı bırakarak, insanların dikkatli olmasının başarısız olabileceği senaryolar için özel olarak tasarlanmış temel bir korumayı kaldırdı.

Olay, hükümetin teknoloji uygulamalarındaki daha geniş kapsamlı güvenlik başarısızlıklarına örnek teşkil ediyor. Siber güvenlik altyapısına yapılan önemli yatırımlara ve CISA gibi uzmanlaşmış kurumların kurulmasına rağmen, temel operasyonel güvenlik önlemleri bazen göz ardı ediliyor veya aktif olarak atlatılıyor. Güvenlik sorumlulukları ile gerçek güvenlik uygulamaları arasındaki bu boşluk, federal bilgi güvenliği programları için süregelen bir zorluğu temsil ediyor.

Açıklamaya yanıt olarak CISA, güvenliği ihlal edilen veri havuzunu kamu erişiminden kaldırdı. Bununla birlikte, açığa çıkmanın uzun süredir devam eden doğası, içerdiği tüm kimlik bilgilerinin halihazırda tehlikeye girebileceği ve derhal rotasyon gerektirebileceği anlamına gelir. Kimlik bilgilerini benzer şekilde kullanan kuruluşlar benzer risklerle karşı karşıyadır ve bu olay, tam olarak bu tür hataları önlemek için tasarlanmış güvenlik korumalarını devre dışı bırakmanın tehlikeleri hakkında uyarıcı bir hikaye görevi görmektedir.

Güvenlik topluluğu, gizli bilgilerin yönetimine azami ciddiyetle yaklaşmanın önemini vurguladı. Kimlik bilgilerini kaynak kodundan ayrı tutmak için ortam değişkenleri, yapılandırma dosyaları ve gizli yönetim sistemleri kullanılmalıdır. Ayrıca, en az ayrıcalık ilkeleri, kimlik bilgilerinin güvenliği ihlal edilse bile kısıtlı erişim izinleri yoluyla olası hasarın en aza indirilmesini sağlar.

Bu olay, devletin ve sektörün her düzeyindeki kuruluşların, veri havuzu erişim kontrollerinin düzenli denetimleri, güvenlik koruma mekanizmalarının devre dışı bırakılması ve kimlik bilgisi yönetimi uygulamaları dahil olmak üzere sıkı güvenlik uygulamalarını sürdürme yönündeki kritik ihtiyacını güçlendiriyor. Bu temel güvenlik hijyeni uygulamalarına uymamanın sonuçları, özellikle kritik ulusal altyapı güvenliği çıkarlarını koruma sorumluluğu olan kuruluşlar için ciddi olabilir.