До недавнего времени общедоступный репозиторий на GitHub содержал учетные данные как для аккаунтов AWS правительства США, так и для внутренних систем Агентства по кибербезопасности и защите инфраструктуры (CISA).
Об этом сообщил журналист по кибербезопасности Брайан Кребс, который первым сообщил новость на выходных, действуя по наводке исследователя Гийома Валадона из GitGuardian.
Валадон подтвердил эту информацию в интервью по электронной почте изданию CSO.
Основываясь на истории коммитов репозитория и заметках по устранению неполадок, оставленных самим создателем аккаунта и зафиксированных в репозитории, Валадон полагает, что репозиторий велся подрядчиком CISA, который создал его в своем личном аккаунте на GitHub.
«Это серьезное нарушение мер безопасности, поскольку секреты хранятся в открытом тексте и фиксируются в Git вместо того, чтобы извлекаться из менеджера секретов во время выполнения», — написал он, — «и потому что внутренние документы, которые должны были оставаться конфиденциальными, были загружены в общедоступный репозиторий внутри личного аккаунта разработчика».
GitGuardian — это французская служба, чьи продукты сканируют внутренние и внешние источники, включая GitHub, на предмет обнаружения раскрытых секретов.
14 мая они обнаружили общедоступный репозиторий GitHub под названием «Private-CISA». Репозиторий, который существовал с 13 ноября 2025 года, содержал 844 МБ данных, включая файлы Kubernetes, рабочие процессы GitHub Actions, резервные копии внутренней документации, личные документы и операционные скрипты, пароли в открытом тексте, токены AWS и токены доступа GitHub.
Хорошая новость: данные событий GitHub показывают, что репозиторий ни разу не форкнули, отметил Валадон, «что ограничило радиус поражения».
Плохая новость: владелец аккаунта не ответил немедленно на предупреждающее сообщение Валадона, поэтому тот обратился к Кребсу.
Валадон также сообщил об утечке в Координационный центр реагирования на компьютерные инциденты США (CERT/CC) 14 мая, а на следующий день связался с CISA. Репозиторий был отключен той же ночью. «Я должен отдать им [CISA] должное за быстрое удаление этого репозитория», — сказал Валадон. «Большинство наших ответственных раскрытий занимают гораздо больше времени, и многие так и не исправляются. Успеть отключить репозиторий за день — это впечатляющая работа».
«Я девять лет проработал в ANSSI [французский эквивалент CISA]», — добавил Валадон, — «и теперь, ежедневно сталкиваясь с утечками в GitGuardian, это, безусловно, одно из худших, что я когда-либо видел».
На основании данных аккаунта Кребс полагает, что им управляла фирма по кибербезопасности из Вашингтона, округ Колумбия, работавшая по контракту с CISA. Компания отказалась это подтвердить, когда CSO запросил комментарий, перенаправив вопросы в CISA.
В ответ на запрос о комментарии представитель CISA сообщил по электронной почте, что агентство осведомлено о заявленном раскрытии и продолжает расследование ситуации. «В настоящее время нет никаких признаков того, что в результате этого инцидента были скомпрометированы какие-либо конфиденциальные данные», — написали они. «Хотя мы требуем от членов нашей команды высочайших стандартов добросовестности и операционной осведомленности, мы работаем над обеспечением внедрения дополнительных мер защиты для предотвращения будущих инцидентов».
Существует множество серьезных проблем безопасности, связанных с репозиториями GitHub, начиная от поддельных репозиториев, созданных злоумышленниками, и заканчивая законными аккаунтами, которые по ошибке созданы с публичным доступом. А в прошлом месяце исследователи из Wiz обнаружили уязвимость внедрения во внутренней инфраструктуре git, которая могла позволить хакерам выполнять произвольные команды на серверах GitHub.
В данном случае проблема носит человеческий характер; репозитории GitHub могут содержать ряд секретов, таких как токены и учетные данные, включенные создателями аккаунтов, поэтому пользователям необходимо внедрять обширные средства защиты и лучшие практики безопасности GitHub, включая ограничение доступа к репозиторию.
Связанный контент: Аккаунты GitHub стали целью атак с использованием поддельных уведомлений о безопасности
Что следует делать CISO и CIO
Раскрытие секретов на GitHub — «это серьезная и, к сожалению, распространенная проблема», — прокомментировал Йоханнес Уллрих, декан по исследованиям в SANS Institute.
Однако, добавил он, ИТ-отдел может предпринять несколько шагов для предотвращения этого. Во-первых, секреты, такие как пароли и ключи API, должны управляться централизованно. Внедрение общекорпоративного процесса управления секретами нелегко осуществить, признал он, «но это ваш лучший шанс избежать ненадлежащего обращения с секретами».
Во-вторых, используйте инструменты, которые проактивно сканируют системы пользователей и общедоступные сервисы, такие как GitHub, на предмет обнаружения раскрытых ключей. «Эти продукты необходимы для обеспечения соблюдения любой политики, регулирующей безопасное обращение с секретами», — сказал Уллрих.
«В данном конкретном случае вина, по-видимому, лежит на подрядчике, а не на самой CISA», — отметил он. «Управление отношениями с поставщиками важно, и оно должно включать соглашения о том, как обращаться с секретами, используемыми для доступа к внутренним системам и данным».
Опытный консультант Роберт Эндерл из Enderle Group отметил, что такого рода утечки происходят с тревожной частотой. «Разработчики часто испытывают огромное давление, чтобы быстро выпустить код», — сказал он, — «и границы между личными и рабочими репозиториями могут легко размываться. Однако для подрядчика, связанного с CISA — тем самым агентством, которому поручено защищать нашу национальную инфраструктуру, — потенциальные последствия катастрофичны. Оставление учетных данных в общедоступном репозитории GitHub сродни оставлению мастер-ключей от киберзащиты страны на скамейке в общественном парке. Если бы эти учетные данные были использованы государственным субъектом, это могло бы способствовать масштабной атаке на цепочку поставок или глубокому проникновению в критически важные государственные системы».
Чтобы смягчить этот потенциал, CISO и CIO должны перестать полагаться только на политику и внедрить надежное автоматизированное управление, сказал Эндерл. «Нельзя ожидать, что люди не будут ошибаться; вы должны создавать системы, которые их отлавливают», — сказал он. Это означает обязательное использование автоматизированных инструментов сканирования секретов, которые активно блокируют коммиты, содержащие учетные данные или ключи API, прежде чем они попадут в репозиторий. Предприятия также должны обеспечить строгое разделение между личными и рабочими средами разработчиков, потребовать многофакторную аутентификацию (MFA) повсеместно и принять архитектуру нулевого доверия, которая предполагает, что учетные данные в конечном итоге будут скомпрометированы, сказал он.
Валадон добавил, что CISO и CIO должны проводить полное сканирование секретов во всех внутренних репозиториях, а не только в общедоступных аккаунтах GitHub, блокировать секреты до того, как они достигнут репозитория, использовать учетные данные с коротким сроком действия, где это возможно, развертывать honeytokens, такие как поддельные пароли, которые обманывают любопытных злоумышленников, в конфиденциальных репозиториях, а также проводить инвентаризацию того, где на самом деле находится код их организации, включая проверку того, не находится ли он в личных аккаунтах GitHub сотрудников и подрядчиков.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon




