CISA ने GitHub पर गलती से अपनी चाबियाँ लीक कीं
मूल शीर्षक: CISA accidentally leaked their own keys on GitHub
यह क्यों महत्वपूर्ण है
यह घटना सरकारी साइबर सिक्योरिटी एजेंसियों में आंतरिक सुरक्षा प्रथाओं की कमियों को उजागर करती है।
साइबर सिक्योरिटी एजेंसी CISA के एक ठेकेदार ने GitHub पर सार्वजनिक रिपॉजिटरी में AWS GovCloud खाते की अत्यधिक विशेषाधिकार प्राप्त क्रेडेंशियल्स और आंतरिक सिस्टम की जानकारी उजागर की। सिक्योरिटी विशेषज्ञों ने इसे हाल के इतिहास में सबसे गंभीर सरकारी डेटा लीक बताया।
GitGuardian के रिसर्चर Guillaume Valadon ने 15 मई को KrebsOnSecurity को सूचित किया कि CISA ठेकेदार का 'Private-CISA' नामक GitHub रिपॉजिटरी सार्वजनिक रूप से संवेदनशील जानकारी उजागर कर रहा था। उजागर डेटा में तीन Amazon AWS GovCloud सर्वर की एडमिनिस्ट्रेटिव क्रेडेंशियल्स, 'AWS-Workspace-Firefox-Passwords.csv' फाइल में दर्जनों आंतरिक CISA सिस्टम के प्लेनटेक्स्ट पासवर्ड, और 'Landing Zone DevSecOps' सिक्योर कोड डेवलपमेंट एनवायरनमेंट तक पहुंच शामिल थी। Seralys के Philippe Caturegli ने पुष्टि की कि उजागर क्रेडेंशियल्स तीन AWS GovCloud खातों में उच्च विशेषाधिकार स्तर पर प्रमाणीकरण कर सकते थे। रिपॉजिटरी में CISA के आंतरिक 'artifactory' के प्लेनटेक्स्ट क्रेडेंशियल्स भी थे। विशेषज्ञों ने बताया कि ठेकेदार ने GitHub की डिफॉल्ट सुरक्षा सेटिंग्स को अक्षम कर दिया था जो SSH keys और अन्य secrets को पब्लिक रिपॉजिटरी में प्रकाशित होने से रोकती हैं।