CISA yöneticisi AWS GovCloud anahtarlarını GitHub’a sızdırdı

 (krebsonsecurity.com)
1 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • CISA yüklenicisi tarafından işletilen herkese açık Private-CISA deposu, yüksek yetkili AWS GovCloud hesaplarını ve iç sistem kimlik bilgilerini açığa çıkardı
  • GitHub hesabında, gizli bilgilerin paylaşımını engelleyen varsayılan ayarların devre dışı bırakıldığına dair izler vardı ve hesapta düz metin parolalar, token’lar ve log’lar bulunuyordu
  • Açığa çıkan importantAWStokens dosyasında üç AWS GovCloud sunucusunun yönetici kimlik bilgileri, CSV dosyasında ise iç sistem giriş bilgileri yer alıyordu
  • Seralys, sızan anahtarların yüksek yetkiyle kimlik doğrulaması yapabildiğini ve iç artifactory erişiminin paket arka kapısı ile yanal hareket riskini artırdığını değerlendirdi
  • CISA’ya bildirim yapıldıktan hemen sonra hesap çevrimdışı oldu, ancak AWS anahtarları bundan sonra da 48 saat geçerli kaldı; CISA ise ihlal belirtisi olmadığını açıkladı

Herkese açık GitHub deposunda açığa çıkan CISA iç kimlik bilgileri

  • CISA yüklenicisi tarafından işletilen herkese açık bir GitHub deposu, birden fazla yüksek yetkili AWS GovCloud hesabını ve CISA iç sistem kimlik bilgilerini açığa çıkardı
  • Deponun adı Private-CISA idi ve CISA’nın yazılımları kurum içinde nasıl derlediği, test ettiği ve dağıttığıyla ilgili dosyaları da içeriyordu
  • Depoda bulut anahtarları, token’lar, düz metin parolalar, log’lar ve diğer hassas CISA varlıklarından büyük miktarda bulunuyordu
  • GitGuardian bünyesinden Guillaume Valadon, herkese açık kod depolarını sürekli tarayarak açığa çıkan gizli bilgileri tespit edip hesap sahiplerine otomatik bildirim gönderme sürecinde bu depoyu buldu
  • Valadon, depo sahibinden yanıt alamayınca ve açığa çıkan bilgilerin son derece hassas olduğunu görünce KrebsOnSecurity ile iletişime geçti

GitHub gizli bilgi tespitinin devre dışı bırakılması ve kritik dosyalar

  • Valadon, bu CISA kimlik bilgisi sızıntısını kötü güvenlik hijyeninin tipik bir örneği olarak değerlendirdi
  • Söz konusu GitHub hesabının commit log’larında, CISA yöneticisinin herkese açık kod depolarına SSH anahtarı ya da başka gizli bilgiler göndermesini engelleyen GitHub varsayılan ayarlarının devre dışı bırakıldığına dair izler vardı
  • Valadon, “CSV içinde düz metin olarak saklanan parolalar, Git’e konmuş yedekler ve GitHub gizli bilgi tespit özelliğini devre dışı bırakan açık komutlar” bulunduğunu aktardı
  • Açığa çıkan importantAWStokens dosyası, üç Amazon AWS GovCloud sunucusunun yönetici kimlik bilgilerini içeriyordu
  • Bir başka dosya olan AWS-Workspace-Firefox-Passwords.csv, onlarca CISA iç sistemine ait düz metin kullanıcı adları ve parolalar içeriyordu
  • Philippe Caturegli’ye göre bu sistemler arasında, kurumun güvenli kod geliştirme ortamı “Landing Zone DevSecOps”un kısaltması gibi görünen LZ-DSO da vardı

Yüksek yetki ve iç sistem erişimi riski

  • Güvenlik danışmanlığı şirketi Seralys’in kurucusu Philippe Caturegli, yalnızca AWS anahtarlarının hâlâ geçerli olup olmadığını ve açığa çıkan hesapların hangi iç sistemlere erişebildiğini doğruladığını söyledi
  • Caturegli, açığa çıkan kimlik bilgilerinin üç AWS GovCloud hesabında yüksek yetki seviyesinde kimlik doğrulaması yapabildiğini doğruladı
  • Arşivde CISA iç artifactory sistemine ait düz metin kimlik bilgileri de bulunuyordu
  • Bu artifactory, CISA’nın yazılım derlemek için kullandığı bir kod paketi deposu ve saldırganların CISA sistemlerinde kalıcı bir dayanak oluşturmaya çalışırken cazip bulabileceği bir hedef olabilir
  • Caturegli, bu noktanın yanal hareket için çok uygun olduğunu, ayrıca yazılım paketlerine arka kapı yerleştirilmesi halinde bundan sonra yeni derlenecek her yazılıma da arka kapının dağıtılabileceğini belirtti

Deponun kullanım biçimi ve yöneten taraf

  • Caturegli, bu GitHub hesabının düzenli bir proje deposundan çok bireysel bir çalışanın çalışma not defteri veya senkronizasyon aracı olarak kullandığı bir yapıya benzediğini değerlendirdi
  • Hem CISA ile ilgili e-posta adresleri hem de kişisel e-posta adresleri kullanılmıştı; bu da deponun farklı şekilde yapılandırılmış ortamlar arasında kullanılmış olabileceğini düşündürüyor
  • Caturegli, mevcut Git metadatasıyla hangi endpoint ya da cihazların kullanıldığının kanıtlanamayacağını söyledi
  • GitHub hesabı ve açığa çıkan parolaların incelenmesi sonucunda Private-CISA deposunun, Virginia eyaletinin Dulles kentindeki devlet yüklenicisi Nightwing çalışanı tarafından yönetildiği görüldü
  • Nightwing yorum yapmayı reddetti ve soruları CISA’ya yönlendirdi

CISA’nın yanıtı ve sızıntı süresi

  • CISA sözcüsü, kurumun bildirilen sızıntıdan haberdar olduğunu ve durumu incelemeyi sürdürdüğünü söyledi
  • CISA, şu aşamada bu olay nedeniyle hassas verilerin ihlal edildiğine dair bir belirti bulunmadığını açıkladı
  • CISA, ekip üyelerinden yüksek düzeyde dürüstlük ve operasyonel farkındalık beklediğini, tekrarını önlemek için ek koruma önlemleri hazırladığını belirtti
  • CISA, veri sızıntısının olası süresine ilişkin sorulara yanıt vermedi
  • Caturegli’ye göre Private-CISA deposu 13 Kasım 2025’te oluşturuldu ve ilgili yüklenicinin GitHub hesabı Eylül 2018’de açıldı
  • KrebsOnSecurity ve Seralys, CISA’yı sızıntı konusunda bilgilendirdikten hemen sonra Private-CISA deposunu içeren GitHub hesabı çevrimdışı oldu
  • Caturegli, açığa çıkan AWS anahtarlarının bunun ardından açıklanması zor biçimde 48 saat daha geçerli kaldığını söyledi

Kolay parolalar ve ihlalin yayılma riski

  • Kapatılan Private-CISA deposunda, çeşitli iç kaynaklar için kolay tahmin edilebilen parolalar kullanıldığına dair izler de vardı
  • Çok sayıda kimlik bilgisi, her platformun adının sonuna mevcut yılın eklenmesiyle oluşturulan parolalar kullanıyordu
  • Caturegli, bu uygulamanın dışarıya sızdırılmamış olsa bile herhangi bir kurum için ciddi bir güvenlik tehdidi oluşturabileceğini değerlendirdi
  • Saldırganlar, hedef sisteme ilk erişimi elde ettikten sonra çoğu zaman iç ağda açığa çıkan kritik kimlik bilgilerini kullanarak erişim alanlarını genişletir
  • Caturegli, ilgili CISA yüklenicisinin Kasım 2025’ten bu yana bu depoya düzenli commit yaptığına bakarak, GitHub’ı iş dizüstü bilgisayarı ile ev bilgisayarı arasında dosya senkronize etmek için kullanmış olabileceğini öne sürdü
  • Caturegli, bunun herhangi bir şirket için utanç verici bir sızıntı olacağını, ancak bu vakada söz konusu kurumun CISA olması nedeniyle durumun daha da ciddi olduğunu söyledi

Kurumsal arka plan

  • CISA şu anda normal bütçe ve personel seviyesinin yalnızca bir kısmıyla faaliyet gösteriyor
  • CISA, ikinci Trump yönetiminin başlamasından bu yana iş gücünün neredeyse üçte birini kaybetti
  • Söz konusu personel azalmasının, kurumun çeşitli bölümlerinde erken emeklilik, buyout ve istifaların zorlanmasının sonucu olduğu belirtiliyor
  • İlgili haber: CISA has lost nearly a third of its workforce

İlgili okumalar

1 yorum

 
GN⁺ 4 시간 전
Hacker News yorumları

  • Valadon'un iletişime geçme nedeni, sahibinin yanıt vermemesi ve açığa çıkan bilgilerin çok hassas olmasıymış; CISA taşeronunun kimlik bilgilerini sızdırmış olması zaten akıl almaz ama bildirim alıp da yanıt vermemek daha da ciddi
    Üstelik AWS-Workspace-Firefox-Passwords.csv dosyasında CISA'nın dahili sistemlerinden onlarcasına ait düz metin kullanıcı adı ve parolalar bulunduğu söyleniyor
    CISA'nın küçültülmekte olan durumunu anlamak ve buna üzülmek mümkün ama içinde zayıf parolalar olan bir passwords.csv için mazeret olamaz; bu düpedüz beceriksizlik ve bir parola yöneticisi için de büyük bir bütçe gerekmiyor

    • Aradığınız ifade ağır ihmal
    • Bu kişiyi savunmaya çalışmıyorum ama GitHub'ı adeta bir dosya senkronizasyon aracı gibi kullanmış olduğuna dair çok net işaretler var
      Firefox-passwords.html ve firefox-bookmarks.html, yeni bilgisayara geçmeden önce dışa aktarılıp sonra yeniden içe aktarılan dosyalardı; Firefox Sync'ten önceki eski yöntem buydu
      Makalede de geçiyor ama ayrıca dikkat çekilecek kadar belirgin
    • Bir tarafta CISA küçültülüyor, öbür tarafta ise siber güvenlik, ulusal çıkarlar ve kritik altyapı etrafındaki söylem büyümeye devam ediyor
    • CISA'daki tanıdıklarımın çoğu 2025'in Ocak-Mart dönemindeki DOGE kampanyası sırasında tasfiye edildi
      “Biz 20'li yaşlarımızdayız ve senin ne yaptığını bilmiyoruz, o yüzden kovuldun” der gibi, önceden hiçbir bildirim yoktu
      Diebold oylama sistemlerindeki güvenlik açıkları ve denizaşırı implant hack'leriyle ilgilenen ekip de dağıtıldı
    • İlk kez raporladığım “hack”, lise bilgisayar ağında düz metin parola dosyası bulmaktı ve yıl 1987'ydi
      Dünya değişse de değişmeyen şeyler var

  • İnsanların hafife aldığı şeylerden biri de, depodaki diskte .env ya da başka gizli değerler dururken bunlar commit edilmemiş olsa bile OpenAI, Anthropic, OpenRouter'a büyük miktarda gizli verinin gönderilmesi bence
    LLM'ler tüm dosyaları seve seve okuyabilir ve sonra bunları ChatGPT eğitim verisine yollarken hiçbir uyarı da göstermeyebilir
    Çünkü ortam değişkenlerinin ayarlanıp ayarlanmadığını ya da uygulamanın veritabanı parolasının hazır olup olmadığını kontrol etmek görünüşte normal bir iş
    Artık kuruluşların diskte veya loglarda tutulan gizli değerleri denetleyip değiştirmesi ve yalnızca gerçekten gerektiği anlar dışında bunları düz metin olarak bırakmamak için SOPS ya da Vault gibi araçlara taşıması gerekiyor

    • Bu sorun düşünülenden çok daha fazla küçümseniyor
      Sızıntı yolu genelde “gizli veriyi commit ettik” değil, “ajan yanıt üretirken .env dosyasını okuyup değerleri analize aynen kattı, ardından o prompt ve çıktı eğitim verisine ya da bir başkasının cache hit'ine girdi” şeklinde oluyor
      Gerçek gizli değerler içeren projelerde .aiignore ya da .claudeignore içine .env, credentials/, .pem ekledim; proje bazlı talimat dosyalarına da “istenirse bile .env dosyalarını okuma” yazdım ve gizli değerlerin diskte değil, süreç başlarken 1Password ya da keychain'den ortam değişkeni olarak enjekte edilmesini sağladım
      Daha büyük sorun ise “.gitignorea saygı göster” yaklaşımının yanlış bir soyutlama olması
      Özel depolarda commit edilse bile LLM API'lerine akmaması gereken çok sayıda dosya var ve bu iki küme aynı değil
    • Dürüst olmak gerekirse geliştirme ağacındaki .env dosyalarında çok kritik gizli değerler bulunmamalı
      Bunlar erişimi kısıtlı geliştirme gizli değerleri olmalı ve OpenAI geliştirme ortamı gibi “üretim” sistemlerine uzanan değerlerin de mümkün olduğunca yetkileri sınırlandırılmalı
      Sorun sadece sızıntı değil; test ve geliştirme sırasında yanlışlıkla sisteme hizmet reddi yaşatmak ya da hatalı istekler göndermek de çok kolay
      Birinin test otomasyonu üzerinde çalışırken yanlışlıkla binlerce gerçek sonucu göndermesi ve 1.000 dolarlık bir fatura alması istenecek son şeydir
    • Katılıyorum. Uzun ömürlü sabit kimlik bilgileri asıl sorun
      AWS ve diğer büyük bulut sağlayıcılarının bundan uzaklaşmayı sağlayan araçlar üretmesi, hatta bunu yumuşak ya da epey güçlü biçimde teşvik etmesi takdire değer
      Ama herkes henüz gereken seviyeye ulaşmış değil
      Örneğin Railway, rol/OIDC üzerinden AWS kaynaklarına erişim vermiyor; bunun için ticket açtım ama henüz bir hareket görmedim
      0: https://station.railway.com/feedback/allow-for-integration-w...
    • Artık dotenv dosyalarını düz metin olarak bırakmıyorum
      sops ile şifrelenmiş ortam dosyaları tutuyor ve bunları direnv gibi araçlarla çalışırken shell içinde kullanılabilir hale getiriyorum
      Elbette bir LLM yine bu gizli değerleri çıktılayabilir ama olasılık azalıyor
      Ayrıca en azından Claude, dotenv okumaktan kaçınmaya çalışıyor gibi görünüyor ve son olarak yerel gizli değerlerin kendisini de bu kadar önemli hale getirmemek gerek
      Kısıtlı kapsam, geliştirme hesapları vb. kullanılmalı
    • Son zamanlarda gördüğüm kadarıyla en azından Claude ortam dosyalarını okumamak için epey çaba gösteriyor
      Örneğin veritabanını okuyup erişmesini sağlamak için prompt'ta oldukça sert şekilde bastırmanız gerekiyor

  • 2026'da devlet kimlik bilgilerini bir depoda tutuyorsanız ve bunu yakalayacak bir tarayıcınız da yoksa soruşturulmanız gerekir
    Profesyonel görevde bunu yapan birine çok şüpheyle bakarım
    Bir yabancı istihbarat servisi bunu görseydi muhtemelen önce honeypot sanırdı; o kadar bariz ki, hayal gücünden yoksun bir tuzak gibi görünürdü

    • Devletteki yetkin insanları tamamen kovmuş olmaları ne güzel
    • DOGE'un, tüm ABD devlet çalışanları ya da tüm sosyal güvenlik numaraları gibi ABD devlet verilerini dışarı çıkarmaya çalıştığını zaten biliyoruz
      Önceki bir yönetim olsaydı CISA'nın yemleme operasyonu yaptığını düşünürdüm ama bu yönetimin yolsuzluğu ve beceriksizliğiyle birlikte CISA'daki toplu işten çıkarmaları düşününce, bunun gerçekten basit bir hata olması da mümkün

  • Hassas belgeleri ChatGPT'ye de yüklemiş [1]
    [1] https://www.politico.com/news/2026/01/27/cisa-madhu-gottumuk...

    • O makaleyi okuyunca Trump/Noem'in görevlere yabancı casuslar yerleştirmiş gibi göründüğü hissi doğuyor
      Bir gün Amerikan halkı bunun hesabını soracaktır

  • İşin ironik yanı, o AWS anahtarıyla daha güvenli birçok AWS hizmeti kullanılabilirdi
    Örneğin S3, mümkünse KMS eklenmiş S3, Parameter Store, EBS, EFS, AWS Secrets Manager ya da dosyaları doğrudan KMS ile şifrelemek
    Aslında KMS destekleyen ve hizmet kimliğine anahtara erişim izni vermeyi gerektirmeyen herhangi bir AWS hizmeti de olurdu

  • Bunun tam 6-7 ay boyunca sürmüş olması şaşırtıcı
    GitGuardian gibi şirketlerin ya da trufflehog kullanan bireysel araştırmacıların sızan anahtarı birkaç gün içinde bulacağını sanırdım
    Belki de GitHub o kadar büyüdü ki tarayıcılar artık yetişemiyor

  • Depo adı kelimenin tam anlamıyla Private-CISA imiş
    private, internal gibi sözcükler içeren depo adlarını aramak ve depo adında normalde görülmesi beklenmeyecek devlet kurumu ya da teknik olmayan şirket adlarını ayıklamak eğlenceli olabilir
    Hepsini kopyalayıp sonra LLM ile hızlıca taratarak ilginç bir şey var mı diye baktırabilirsiniz
    Ama GitHub'da AWS kimlik bilgileri gibi temel şeyler için otomatik tarayıcılar yok muydu?

    • Yalnızca açıksa var. Makaleye göre bu kullanıcı o özelliği kapatmış

  • Asıl üzücü olan, federal hükümetin onlarca yıl önce akıllı kart tabanlı kimlik doğrulama olan CAC'e sahip olmasıydı
    Ama açık internet yığını parola üstüne kurulu olduğu için devlet altyapısı da sonuçta parola kullanmak zorunda kalıyor