Как сообщил независимый журналист-расследователь в сфере безопасности Брайан Кребс, исследователь безопасности GitGuardian Гийом Валадон обнаружил множество раскрытых учетных данных в открытом виде, перечисленных в электронных таблицах, которые были сделаны общедоступными в репозитории GitHub сотрудником подрядчика CISA.
Валадон сообщил Кребсу, что раскрытые учетные данные использовались для доступа к системам, принадлежащим CISA и ее головному ведомству — Министерству внутренней безопасности. Валадон заявил, что учетные данные включали токены доступа, ключи облачных сервисов и другие конфиденциальные файлы. Валадон рассказал Кребсу, что проверил некоторые ключи, чтобы убедиться в их действительности.
Затем он сообщил об уязвимости Кребсу, поскольку подрядчик CISA, обслуживавший среду GitHub, не отреагировал на их оповещения.
Этот инцидент в области безопасности особенно неловкий для CISA, поскольку федеральное агентство США отвечает за кибербезопасность всей гражданской федеральной сети. Организация также консультирует по лучшим практикам кибербезопасности, которые включают хранение паролей в защищенных менеджерах паролей, а не в незащищенных электронных таблицах.
Неясно, обнаружил ли или использовал ли кто-либо эти учетные данные, кроме Валадона. Когда TechCrunch связался с представителем CISA, он не дал немедленных комментариев и не сообщил, есть ли у агентства какие-либо доказательства взлома, вызванного этим раскрытием. TechCrunch спросил, отозвала ли и заменила ли агентство раскрытые учетные данные после инцидента.
Хотя инцидент проследили до сотрудника подрядчика CISA, в конечном итоге CISA несет ответственность за безопасность собственной сети и систем, включая подрядчиков, работающих на агентство.
CISA остается без постоянного директора с 20 января 2025 года, когда тогдашний директор Джен Истерли покинула свой пост в преддверии вступления в должность новой администрации Трампа. CISA также потеряла около трети своего персонала из-за сокращений, простоев и увольнений с момента вступления Трампа в должность.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Zack Whittaker
