Витік облікових даних CISA на публічному репозиторії GitHub

Під час значного інциденту з безпекою, який підкреслює критичну важливість належного керування обліковими даними, американське Агентство з кібербезпеки та безпеки інфраструктури (CISA) зазнало серйозного порушення конфіденційних облікових даних адміністратора. Дослідник безпеки Браян Кребс нещодавно повідомив, що федеральне агентство випадково викрило значну колекцію простих текстових паролів, закритих ключів SSH, маркерів автентифікації та інших конфіденційних активів CISA через загальнодоступне сховище GitHub. Викриття було активним протягом тривалого періоду, і є докази того, що сховище залишалося видимим для громадськості принаймні з листопада 2025 року.

Виявлення цього інциденту з розкриттям облікових даних підкреслює тривожний розрив між обов’язками щодо безпеки, які очікуються від державного агентства з кібербезпеки, та фактичними застосовуваними методами роботи. Репозиторій, про який йде мова, отримав назву «Private-CISA», що демонструє іронічну розбіжність між запланованою метою — збереженням конфіденційності матеріалів — і фактичним результатом оприлюднення конфіденційної інформації. Відтоді сховище було виведено з мережі, але не раніше, ніж його потенційно виявили та використали зловмисники протягом тих місяців, коли він залишався доступним.

Попередження щодо скомпрометованого сховища надійшло від GitGuardian, компанії, що спеціалізується на рішеннях для виявлення секретів і безпеки коду. Гійом Валадон, дослідник GitGuardian, виявив викрите сховище завдяки безперервним публічним скануванням коду компанії. Механізм виявлення Valadon представляє тип автоматизованого спостереження, який визначає збої в безпеці до того, як про них дізнаються адміністратори. Після виявлення порушення Valadon спробував зв’язатися безпосередньо з власником сховища, але не отримав відповіді від представників CISA щодо розкритих облікових даних.

Згідно з листуванням між Валадоном і Кребсом, ситуація стала значно більш тривожною після вивчення історії комітів сховища. Докази з журналів git демонструють, що вбудовані секретні механізми захисту GitHub — функції, спеціально розроблені для запобігання розробникам від випадкової передачі конфіденційної інформації — були навмисно відключені адміністратором сховища. Це свідчить про те, що порушення було не просто недоглядом, а радше навмисним обходом тих самих заходів безпеки, які GitHub надає для захисту саме від такого типу збою безпеки.

Наслідки цього порушення облікових даних AWS GovCloud значні для федеральної інфраструктури безпеки. Викриті облікові дані включали маркери автентифікації для сервісів AWS GovCloud, що означає потенційний несанкціонований доступ до хмарної інфраструктури, яку використовує федеральний уряд. Приватні ключі SSH, якщо вони зламані, можуть надати зловмисникам прямий доступ до віддалених систем. Звичайні текстові паролі, що зберігаються в сховищах вихідного коду, є фундаментальним порушенням найкращих практик безпеки та створюють численні шляхи для несанкціонованого доступу до критично важливих систем.

Цей інцидент викликає серйозні запитання щодо культури безпеки та практики навчання в CISA, організації, яка несе значну відповідальність за надання консультацій іншим федеральним агентствам і організаціям приватного сектору з питань кібербезпеки. Власні збої в системі безпеки організації підривають довіру до неї як довіреного авторитету щодо практики безпеки інфраструктури. Коли агентство, якому доручено захищати критично важливу інфраструктуру Америки, не може забезпечити власні облікові дані, це викликає занепокоєння щодо ефективності його керівництва для інших організацій.

Час викриття викликає особливе занепокоєння, оскільки облікові дані залишалися доступними місяцями, перш ніж їх виявили та повідомили. Протягом цього вікна для різних учасників загрози — від окремих хакерів до складних національних держав — було багато можливостей отримати доступ до розкритих секретів і використати їх. Фактичний масштаб порушення залишається неясним, оскільки, як відомо, важко визначити, чи були облікові дані виявлені та використані неавторизованими сторонами.

Секретні функції захисту GitHub, які в цьому випадку були вимкнені, функціонують як остання важлива лінія захисту від помилок облікових даних розробника. Ці засоби захисту попереджають користувачів, коли вони намагаються закріпити певні шаблони, які зазвичай пов’язують із секретами, як-от ключі AWS, приватні криптографічні ключі або маркери автентифікації. Вимкнувши ці засоби захисту, адміністратор сховища видалив фундаментальний захист, розроблений спеціально для сценаріїв, коли людська пильність може зазнати збою.

Цей інцидент є прикладом ширшої моделі збоїв безпеки в урядових технологічних практиках. Незважаючи на значні інвестиції в інфраструктуру кібербезпеки та створення спеціалізованих агенцій, таких як CISA, основні оперативні заходи безпеки іноді ігноруються або активно обходяться. Цей розрив між обов’язками щодо безпеки та фактичними методами безпеки є постійною проблемою для федеральних програм інформаційної безпеки.

У відповідь на розголошення CISA видалила скомпрометований репозиторій із публічного доступу. Однак тривалий характер впливу означає, що будь-які облікові дані, які містяться в ньому, можуть бути вже скомпрометовані та потребують негайної заміни. Організації, які обробляють облікові дані подібним чином, стикаються з подібними ризиками, і цей інцидент є застереженням про небезпеку відключення засобів захисту, призначених для запобігання саме таким типам збоїв.

Ширше співтовариство безпеки наголошує на важливості ставлення до управління секретами з найбільшою серйозністю. Змінні середовища, конфігураційні файли та секретні системи керування слід використовувати, щоб облікові дані були відокремлені від вихідного коду. Крім того, принципи найменших привілеїв гарантують, що навіть якщо облікові дані скомпрометовано, потенційна шкода буде зведена до мінімуму через дозволи обмеженого доступу.

Цей інцидент підсилює критичну необхідність для організацій на всіх рівнях управління та промисловості підтримувати суворі методи безпеки, зокрема регулярні перевірки контролю доступу до сховища, відключення механізмів захисту безпеки та практики керування обліковими даними. Наслідки недотримання цих базових правил гігієни безпеки можуть бути серйозними, особливо для організацій, які відповідають за захист критично важливих інтересів національної безпеки інфраструктури.