CISA ostavila javni GitHub repozitorijum sa lozinkama i ključevima
Američka CISA, agencija zadužena za sajber odbranu, šest meseci je imala javno dostupan GitHub repozitorijum pod nazivom „Private-CISA” sa lozinkama u čistom tekstu, privatnim ključevima, tokenima i konfiguracijama infrastrukture. GitGuardian istraživač Guillaume Valadon pronašao je repozitorijum 14. maja i prijavio ga agenciji, koja ga je uklonila dan kasnije. Prema navodima istraživača, sadržaj je uključivao AWS kredencijale, GitHub personal access tokene, Kubernetes manifest fajlove, ArgoCD konfiguracije, Terraform kod, Azure registry ključeve i Entra ID SAML sertifikate. CISA tvrdi da za sada nema indikacija da su osetljivi podaci kompromitovani.
Posebna težina ovog slučaja je u tome što se nije dogodio nekoj firmi bez bezbednosnog tima, već agenciji koja drugima daje smernice za zaštitu. Curenje tajni kroz GitHub retko ostaje samo pitanje jednog repozitorijuma: kada se na istom mestu nađu tokeni, ključevi, konfiguracije i deployment fajlovi, napadač može dobiti mapu puta ka internim sistemima, pipeline-u i dugotrajnom prisustvu.
- Proveriti da li se lozinke, tokeni, ključevi ili backup fajlovi nalaze u Git repozitorijumima
- Uključiti secret scanning i zabraniti commit-ovanje fajlova sa kredencijalima kroz pre-commit ili CI kontrole
- Rotirati sve tajne koje su ikada bile javno dostupne, čak i ako nema dokaza o zloupotrebi
- Odvojiti poslovne i privatne GitHub naloge u radnim procesima i jasno definisati ko sme da pravi repozitorijume
- Pregledati istoriju commit-a, jer brisanje fajla iz aktuelne verzije repozitorijuma ne znači da tajna više nije dostupna