Američka Agencija za kibernetičku sigurnost i infrastrukturu, zadužena za zaštitu američke digitalne infrastrukture, navodno je mjesecima ostavila vlastite pristupne ključeve i lozinke javno izložene na GitHubu - i to u običnom tekstualnom obliku.

Prema izvješću Krebs on Securityja, problem je ispravljen tek tijekom vikenda.

Ukoliko mislite da je riječ o nekoj skrivenoj ili nejasno imenovanoj repozitoriji, nije. GitHub repozitorij navodno se doslovno zvao: 'Private-CISA'. Unutra ste mogli pronaći lozinke, tokene i pristupne ključeve uključujući CSV datoteke s lozinkama zapisanima u običnom tekstu - dakle bez ikakve enkripcije ili zaštite, piše Gizmodo.

CISA je u izjavi tvrdila kako zasad 'nema naznaka da su osjetljivi podaci kompromitirani', ali je priznala da radi na dodatnim zaštitnim mjerama kako se slična situacija više ne bi ponovila. Prema dostupnim informacijama, repozitorij postoji još od studenoga prošle godine, što znači da su podaci potencijalno bili javno dostupni i do šest mjeseci. Koliko dugo su konkretni ključevi i lozinke bili izloženi, zasad nije poznato.

Situacija je posebno neugodna jer je riječ upravo o agenciji koja bi trebala postavljati standarde kibernetičke sigurnosti za ostatak američke vlade.

Među procurjelim datotekama navodno su bili administratorski pristupi za tri GovCloud servera koje vladi pruža Amazon Web Services, kao i pristupni podaci za interne CISA sustave. Jedan od njih zvao se 'LZ-DSO', što navodno označava 'Landing Zone DevSecOps' - razvojno okruženje za sigurni razvoj koda.

Prema interpretaciji izvješća, čini se da je zaposlenik privatnog kontraktora Nightwing koristio GitHub za prebacivanje podataka između poslovnog i kućnog uređaja. Drugim riječima: netko je navodno koristio javni repozitorij kao improvizirani USB stick za osjetljive državne podatke.

Izvor koji je otkrio problem bio je Guillaume Valadon iz tvrtke GitGuardian, koja automatski skenira GitHub u potrazi za procurjelim tajnama i pristupnim podacima.

Valadon je za Krebs izjavio da je ovo 'najgore curenje podataka koje je vidio u karijeri'.

Cijela priča dodatno pojačava dojam kaosa koji već neko vrijeme prati CISA-u. Agencija je osnovana 2018. tijekom prvog mandata Donalda Trumpa, ali je nakon izbora 2020. postala politička meta unutar Trumpovog tabora, posebno nakon što je tadašnje vodstvo odbacilo tvrdnje o izbornoj krađi.

Od povratka Trumpa u Bijelu kuću, CISA prolazi kroz rezove budžeta, privremena vodstva i unutarnju nestabilnost, a sada se na popis problema dodaje i činjenica da je agencija zadužena za cyber sigurnost navodno ostavila vlastite digitalne ključeve praktički nasred interneta.

Prekrasno.