CISA, veri sızıntısını kontrol altına almaya çalışıyor

 (krebsonsecurity.com)
1 puan yazan GN⁺ 5 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Bir CISA yüklenicisi, herkese açık GitHub profili “Private-CISA”ya onlarca iç sistemin düz metin kimlik bilgisini yükledi; ayrıca GitHub koruma özelliklerini kapattığına dair izler de bıraktı
  • CISA sızıntıyı kabul etti ancak ne kadar süreyle açıkta kaldığına yanıt vermedi; depo 2025 Kasım’da oluşturuldu ve kişisel bir scratchpad gibi kullanılmış bir örüntü gösterdi
  • Maggie Hassan ve Bennie Thompson dahil milletvekilleri, kritik altyapıya yönelik tehditlerin büyüdüğü bir dönemde CISA’nın iç güvenlik politikaları, yüklenici yönetimi ve güvenlik kültürünü sorguladı
  • GitGuardian bildiriminden bir hafta sonra bile bazı anahtarların değiştirilmesi sürüyordu; TruffleHog’dan Dylan Ayrey, 20 Mayıs itibarıyla RSA özel anahtarının hâlâ aktif olduğunu söyledi
  • Herkese açık GitHub etkinlik akışı hem savunmacılar hem de saldırganlar tarafından izlenebildiği için, 2026 Nisan sonlarında eklenen hassas gizli değerlerin zaten kötüye kullanılmış olma riski sürüyor

CISA sızıntısı ve Kongre soruları

  • Bir CISA yüklenicisi, kurumun kod geliştirme platformunda yönetici yetkilerine sahipken “Private-CISA” adlı herkese açık bir GitHub profili oluşturdu ve buraya onlarca dahili CISA sistemine ait düz metin kimlik bilgilerini koydu
  • Commit kayıtlarında, hassas kimlik bilgilerinin herkese açık depolara gönderilmesini engelleyen GitHub yerleşik koruma özelliklerinin devre dışı bırakıldığına dair izler vardı
  • CISA sızıntıyı kabul etti ancak verilerin ne kadar süre açıkta kaldığına yanıt vermedi
  • Ortadan kaybolan Private-CISA arşivini inceleyen uzmanlar, deponun ilk olarak 2025 Kasım’da oluşturulduğunu ve düzenli bir proje deposundan çok kişisel çalışma amaçlı bir scratchpad ya da senkronizasyon aracı gibi kullanıldığını değerlendirdi
  • CISA yazılı açıklamasında, “Bu olay sonucunda hassas verilerin ihlal edildiğine dair bir gösterge yok” dedi

Milletvekillerinin gündeme getirdiği güvenlik kültürü endişeleri

  • Sen. Maggie Hassan, 19 Mayıs’ta CISA Acting Director Nick Andersen’e gönderdiği mektupta, siber ihlallerin önlenmesine yardımcı olan bir kurumda böyle bir güvenlik başarısızlığının nasıl yaşandığına dair ciddi sorular doğduğunu belirtti
  • Hassan, ABD’nin kritik altyapısını hedef alan ciddi siber tehditlerin sürdüğü bir dönemde CISA’nın iç politika ve prosedürlerine ilişkin kaygıların arttığını vurguladı
  • Olay, CISA içindeki büyük çaplı karmaşa sırasında yaşandı; Trump yönetimi birçok birimde erken emeklilik, buyout ve istifaları zorladıktan sonra CISA, personelinin üçte birinden fazlasını ve neredeyse tüm üst düzey liderlerini kaybetti
  • Rep. Bennie Thompson, 19 Mayıs tarihli mektubunda, olayın zayıflamış bir güvenlik kültürünü ya da CISA’nın yüklenici desteğini yönetme kapasitesindeki eksikliği yansıtıyor olabileceğini söyledi
  • Thompson ve ortak imzacı Rep. Delia Ramirez, Çin, Rusya ve İran gibi düşman aktörlerin federal ağlara erişim ve kalıcılık sağlamaya çalıştığı bir ortamda, Private-CISA deposundaki dosyaların istihbarat, erişim ve yol haritası sunduğunu değerlendirdi

Bitmeyen kimlik bilgisi geçersiz kılma süreci

  • Güvenlik şirketi GitGuardian’ın CISA’yı veri sızıntısı konusunda ilk kez uyarmasından bir haftadan uzun süre sonra bile CISA, açığa çıkan çok sayıdaki anahtar ve gizli değeri geçersiz kılma ve değiştirme çalışmalarını sürdürüyordu
  • TruffleHog’u geliştiren Dylan Ayrey, 20 Mayıs itibarıyla Private-CISA deposunda açığa çıkan RSA özel anahtarının hâlâ geçersiz kılınmadığını söyledi
  • Bu RSA özel anahtarı, CISA enterprise hesabının sahip olduğu ve CISA-IT GitHub organizasyonuna kurulu bir GitHub uygulamasına erişim veriyordu; ayrıca tüm kod depolarına tam erişim yetkisine sahipti
  • Ayrey’e göre bir saldırgan bu anahtarla CISA-IT organizasyonundaki tüm depoların kaynak kodunu ve özel depoları okuyabilir, kötü amaçlı self-hosted runner kaydedebilir, CI/CD pipeline’larını ele geçirebilir ve depo gizli değerlerine erişebilirdi
  • Saldırganlar ayrıca branch protection kuralları, webhook’lar ve deployment key’ler dahil depo yönetici ayarlarını da değiştirebilirdi
  • KrebsOnSecurity, 20 Mayıs’ta Ayrey’in bulgusunu CISA’ya bildirdikten sonra CISA’nın söz konusu RSA özel anahtarını geçersiz kıldığı anlaşılıyor
  • Ayrey, CISA’nın kurumun teknoloji portföyü geneline dağıtılmış diğer temel güvenlik teknolojileriyle bağlantılı açığa çıkmış kimlik bilgilerini ise henüz değiştirmediğini söyledi
  • CISA, “Tespit edilen sızdırılmış kimlik bilgilerinin değiştirilmesi ve geçersiz kılınması için ilgili taraflar ve tedarikçilerle aktif şekilde çalışıyor ve koordinasyon sağlıyoruz; sistem güvenliğini korumak için uygun adımları atmayı sürdüreceğiz” yanıtını verdi

Herkese açık GitHub etkinlik akışının iki yönlü doğası

  • Truffle Security, GitHub ve çeşitli kod platformlarında açığa çıkan anahtarları izliyor ve etkilenen hesapları hassas veri ifşası konusunda uyarmaya çalışıyor
  • GitHub, herkese açık kod depolarındaki tüm commit ve değişiklik geçmişini içeren gerçek zamanlı bir akış sunuyor; bu yapı sızıntı tespitini mümkün kılıyor
  • Ayrey, siber suçluların da bu herkese açık akışı izlediğini ve kod commit’lerinde yanlışlıkla yayımlanan API anahtarları ya da SSH anahtarlarını hızla hedef aldığını söyledi
  • Private-CISA GitHub deposunda, önemli CISA GovCloud kaynaklarına ait onlarca düz metin kimlik bilgisi açığa çıktı
  • Ayrey, siber suç örgütleri ya da yabancı düşman aktörlerin de CISA gizli değerlerinin yayımlandığını görmüş olma ihtimalinin yüksek olduğunu ve en ciddi ifşanın 2026 Nisan sonlarında yaşanmış göründüğünü belirtti
  • Asıl risk, “GitHub etkinliklerini izleyen herkesin bu bilgilere sahip olabilecek olması” olmaya devam ediyor

Teknik kontrollerin sınırları

  • Risky Business güvenlik podcast’inden James Wilson, GitHub ile kod projeleri yöneten kuruluşların çalışanların gizli anahtar ve kimlik bilgisi yayımlamayı önleyen özellikleri kapatamaması için üst düzey politikalar tanımlayabileceğini söyledi
  • Sunucu ortaklarından Adam Boileau ise çalışanların kişisel GitHub hesapları açıp hassas ve mülkiyet niteliğindeki bilgileri burada saklamasını hangi teknolojinin engelleyebileceğinin net olmadığını söyledi
  • Boileau, bu olayı yalnızca teknik kontrollerle çözülmesi zor bir insan sorunu olarak tanımladı
  • Eğer yüklenici, içerikleri iş cihazı ile kişisel cihaz arasında senkronize etmek için GitHub kullandıysa, bunun CISA’nın yönetebileceği ya da görebileceği alanın dışında kalan bir davranış olmasını engellemenin zor olduğu yönündeki sınır ortaya çıkıyor
  • Haberin güncellemesinde CISA açıklaması eklendi ve Truffle Security’nin deponun en hassas gizli değerlerinden bazılarının 2025’te değil 2026 Nisan sonlarında eklendiğini belirtmesi üzerine tarih hatası düzeltildi

İlgili okumalar

1 yorum

 
GN⁺ 5 시간 전
Hacker News yorumları

  • Gerçekten akıl almaz bir hata. “Yönetilen bir proje deposundan çok kişisel çalışma not defteri ya da senkronizasyon aracı olarak depo kullanımıyla uyumlu” denmesi ne demek? Git’in en temel kuralı kimlik bilgilerini depoya koymamaktır. Bunun tam olarak hangi kullanım kalıbıyla uyumlu olduğunu anlamıyorum

    • O ifade bunu yerleşik bir çalışma yöntemi ya da en iyi uygulama diye savunmuyor
      “...ile uyumlu bir kalıp gösteriyor” demek, sadece deponun nasıl kullanılmış göründüğünü tarif ediyor. Yani bunun iç proje amaçlı bir devlet kaynak kodu paketi olmadığına ve büyük ölçekli veri sızıntısını kasıtlı olarak hedeflediğine dair bir işaret bulunmadığına işaret ediyor
    • Bunun hangi kalıpla uyumlu olduğu zaten açıkça yazıyor: bir tür kişisel çalışma not defteri gibi kullanılmış
      O cümleye gerçekte olduğundan fazla anlam yüklüyorsunuz. Sadece gözlemlenen durum yazılmış
    • Bu hiç de hata değil. ABD hükümeti yabancı istihbarat servisleri tarafından tamamen ele geçirilmiş durumda ve bu “ihlalin” tamamen kasıtlı olduğunu düşünüyorum
    • Halka açık depoya commit edilen her gizli değer için 1 dolar alsaydım muhtemelen emekli olurdum. Tabii bu bir mazeret değil. ABD hükümetinin de sonuçta bizim gibi insanlardan oluştuğunu yok saymak epey komik

  • Daha yetkin teknik kontroller olsaydı, rastgele bir yüklenicinin 2025 ortasındaki bir parolayı ev bilgisayarına kopyalayabilmesi ve bu parolanın 30 gün değil 5 gün sonra bile hâlâ çalışıyor olması baştan engellenirdi

    • Evet. Aslında hükümetin uzun zamandır her şeyde akıllı kartlar ve HSM kullanımını oldukça ciddiye aldığını sanıyordum. Herkese dışarı aktarılabilir kimlik bilgileri vermelerinin nedenini anlamıyorum; dışarı çıkarılamayan kimlik bilgileri içeren donanım dağıtsalar ya
      Bazı kurumlarda ek maliyet sorun olabilir ama burada öyle bir durum yok. Ya da bu tür proje ve standartlar zaten CISA’nın yaptığı şeylerdi de, Cumhuriyetçiler geçen yıl bunları mahvedince ortaya çıkan çürümenin başka bir belirtisidir. Her durumda teknoloji böyle olayları açıkça azaltabilir; bu kaçınılmaz bir doğal afet değil
    • Ulusal sırlarla çalışmıyorum ama müşterilere ait hassas ya da değerli verilere erişiyorum. Bir şeyi doğrudan kendi cihazıma indirme fikrini anlamıyorum
      "aws s3 cp s3://client/file - | less" gibi bir yolla log dosyası çekmek bile bana kötü geliyor. Ucuz bir instance açıp veriyi müşterinin VPC’si içinde görüntülemek bana çok daha mantıklı geliyor

  • Uzman kurumu küçültürseniz, operasyonel güvenlik yeteneği dahil pek çok kapasitenin zayıflaması gayet beklenir
    2020’de Chris Krebs çalınmış seçim iddialarını çürütmüştü. 2025’te Trump, Krebs’i görevden aldı ve güvenlik iznini iptal ederek CISA’yı direktörsüz bıraktı. https://en.wikipedia.org/wiki/Chris_Krebs
    2025 Mart’ta kesintiler başladı. https://techcrunch.com/2025/03/11/doge-axes-cisa-red-team-st...
    2026’da da hâlâ direktör yoktu ve kurum neredeyse dibe vurmuş halde çalışıyordu. https://techcrunch.com/2026/02/25/us-cybersecurity-agency-ci...
    Bu gidişat, bir ülkenin savunmasını içeriden kasıtlı olarak zayıflatıp kaos yaymaya uyuyor

    • Sorumlu bir yabancı düşman güç olsaydı farkı anlayabilir miydik?
    • Dürüst olmak gerekirse bu, saldırgan bir beceriksizlik ile sadakat temelli işe alım ve işten çıkarmalara daha doğrudan uyuyor. Bu aptalların işe alım ve işten çıkarma yetkisini nasıl elde ettiği ise daha karmaşık bir mesele, bunu kabul ediyorum
    • Krebs 2025’te değil, 2020’de görevden alındı

  • Trump yönetimi birçok kurum genelinde erken emeklilik, satın alma paketi, istifa baskısı yaptıktan sonra CISA personelinin üçte birinden fazlasını ve üst düzey liderlerinin çoğunu kaybetti

  • Senatörler, CISA’nın seçim güvenliği çalışmalarını neden küçülttüğünü soruyor gibi görünüyor[1]. Tulsi’nin bugün istifa etmesinin zamanlaması da bunun ortaya çıkışıyla garip biçimde çakışıyor gibi
    [1]https://www.padilla.senate.gov/newsroom/press-releases/padil...

    • ABD senatörlerinin neden bu kadar yaygara kopardığını anlamıyorum. Trump bütçesini sunarken CISA bütçesini ciddi biçimde kesmek istediğini son derece açık söyledi ve CISA’ya seçim güvenliği ofisini kapatmasını da bizzat emretti
      Bu tam bir “Hannibal’ı kim öldürdü” mem’i. Padilla ile Warner bunu bilmiyorsa, kendileri de beceriksizdir. Özellikle de bunu geçen yıl zaten basın açıklaması olarak işlemişlerdi:
      https://www.padilla.senate.gov/newsroom/news-coverage/cnn-tr...
      Padilla, bunun olduğunu neden unuttun?

  • Bu bana toplu taşımadaki enshittification sürecini hatırlatıyor. Bütçeyi kesersiniz, hizmet kalitesi düşer ve ardından olumsuz kamuoyu gelir
    Sonunda böyle bir yol, güvenlik yüklenicileri üzerinden daha fazla özelleştirmeye çıkabilir

    • Kimlik bilgilerini sızdıran taraf zaten güvenlik yüklenicisiydi. Yani özelleştirmenin son aşamasına zaten gelmiş durumdayız

  • Eskiden 1 milyon SF-86 formunun sızdırıldığını hatırlıyorum. Hani hassas verileri emanet etmeye uygun olup olmadığımızı değerlendirmek için inanılmaz derecede kişisel bilgiler doldurduğumuz o form

    • O bir sızıntı değil, ihlâldi. Çin devlet güvenlik kurumlarının gerçekleştirdiği bir olaydı
    • Bu CISA değil, OPM değil miydi?

  • Milletvekilleri cevap istiyor ama kendileri cevap üretmiyor. Hani gözcüleri kim gözetler? Milletvekillerinin yolsuzluğu büyük ölçekte yaşanıyor ama bir anahtar ifşa edilince kelle mi gidiyor? Anahtarlar çok zeki insanların bile sık sık yanlışlıkla ifşa ettiği şeyler
    Hiç rm -rf * çalıştırmadınız mı? Canlı veritabanını hiç silmediniz mi? Yanlış sunucuyu hiç kapatmadınız mı? Herkes yaptı

    • Onların gözetimi bakım için değil, kontrol içindir. Gizliden gizliye düşmancadır ve “özen gösterme” kısmı sadece bahanedir, gerçeklik değil

  • Uzman olması gereken bu insanlar internette kendilerini düzgün biçimde güvende tutamıyorsa, başka kim internette güvende olabilir bilmiyorum

    • Bu, Doge sonrasında oldu. Doge işini gayet iyi yaptı. Ne yazık ki birçok başka kişi de Doge’un yalanlarını aynen tekrarladı

  • Asıl can alıcı nokta, sızdırılanın yalnızca AWS GovCloud anahtarları olmaması; yüklenicinin GitHub’ın gizli tarama korumasını da elle kapatmış olması