A biztonsági szakértők szerint a Private-CISA névre keresztelt könyvtárban található adatok pontos leírást adtak arról, hogyan építi, teszteli és élesíti a szoftvereket az amerikai kormányzat első számú védelmi bástyája.

A szivárgásra a GitGuardian biztonsági cég kutatója, Guillaume Valadon bukkant rá még május közepén. A cég automatizált eszközei folyamatosan pásztázzák a nyilvános kódmegosztókat kiszivárgott titkok után, és azonnal riasztják a fejlesztőket, ha baj van. Mivel a fiók tulajdonosa napokig nem reagált az automatikus figyelmeztetésekre, Valadon végül a biztonsági újságírás veteránjához, Brian Krebshez fordult.

A vizsgálat során kiderült, hogy nem egyszerű véletlenről van szó. A GitHub naplófájljai feketén-fehéren bizonyítják, hogy az adminisztrátor tudatosan, parancssorból kikapcsolta a GitHub azon beépített védelmi mechanizmusát, amely alapértelmezés szerint megakadályozza a felhasználókat abban, hogy SSH-kulcsokat vagy más kritikus titkokat töltsenek fel nyilvános helyre.

„Sima szövegként elmentett jelszavak egy CSV-fájlban, biztonsági mentések a Gitben, és direkt parancsok a GitHub titokfelismerő funkciójának letiltására... Őszintén szólva azt hittem, az egész csak valami kamu, mielőtt még mélyebben elemeztem volna a tartalmat. Ez a legdurvább szivárgás, amit a karrierem során láttam. Egyetlen ember hibájáról van szó, de félelmetes képet fest a belső folyamatokról” – fogalmazott Guillaume Valadon.

A biztonsági incidenseket vizsgáló Seralys ügynökség alapítója, Philippe Caturegli közelebbről is megvizsgálta a kiszivárgott állományokat.

A kiszivárgott adatok és eszközök között három kiemelt biztonsági szintű kormányzati felhőszerver adminisztrátori kulcsai, a kódfejlesztési környezet belépői, valamint az ügynökség szoftvercsomagjainak forráshelyét biztosító belső kulcsok szerepeltek, de találtak egy titkosítatlan szöveges táblázatot is, amely több tucat belső rendszer felhasználónevét és jelszavát tartalmazta.

A szakértők szerint az alvállalkozó egyfajta ingyenes és kényelmes szinkronizációs platformként használta a nyilvános GitHubot a céges laptopja és az otthoni számítógépe között.

A hanyag biztonsági kultúrát jól mutatja, hogy a belső rendszerek egy részénél az adminisztrátor olyan mesteri jelszavakat alkalmazott, amelyek az adott platform nevéből és az aktuális évszámból álltak.

Bár a riasztást követően a CISA és a GitHub gyorsan eltávolította a kérdéses fiókot, a bürokrácia még ekkor is csődöt mondott: Caturegli szerint a kiszivárgott, szuperprivilegizált AWS-kulcsok érthetetlen módon még további 48 órán keresztül aktívak és érvényesek maradtak a rendszerben, szabad utat biztosítva bárkinek, aki a lekapcsolás előtt lementette a repót.

Ezek is érdekelhetnek:

Kvíz: mennyire ismered a Föld legszélsőségesebb helyeit? Azt például tudod, hogy melyik a Föld legmagasabb hegye, ha a teljes magasságát az alaptól a csúcsig mérjük?

Kvíz: 10 trükkös tudományos kérdés, amire nehéz helyesen válaszolni Azt például igaz, hogy az agyunknak mindössze a 10 százalékát használjuk?

Kvíz: mennyire ismered az emberi agyat? Igaz, hogy az agysejtek nem képesek regenerálódni, vagy hogy az emberi agy mérete az elmúlt tízezer év alatt csökkent? És azt tudod, hogy milyen maximális sebességgel terjedhet az információ az agy idegpályáin?

(Forrás: KrebsonSecurity)