CISA تشدد ضوابط GitHub بعد تسريب مفاتيح AWS في مايو
قالت CISA إن مفاتيح AWS GovCloud ذات صلاحيات مرتفعة من متعاقد ظهرت في مستودع GitHub عام في مايو، ما دفعها إلى تبديل الأسرار ومراقبة المستودعات وإعداد أدلة استجابة جديدة. وقالت الوكالة إن السجلات لم تظهر تعرضا لبيانات العملاء أو المهام، لكنها لم تسم المتعاقد أو المستودع أو مدة الانكشاف أو صلاحيات AWS الدقيقة.

تحول CISA تسريب اعتمادات في مايو إلى خطة تنظيف أمنية علنية بعد ظهور مفاتيح AWS GovCloud ذات صلاحيات مرتفعة من متعاقد في مستودع GitHub عام، لكن الوكالة قالت إن مراجعة السجلات لم تجد تعرضا لبيانات العملاء أو بيانات المهام.
قالت وكالة Cybersecurity and Infrastructure Security Agency الأمريكية إنها أوقفت المستودع وبيئة التطوير المتأثرين، وألغت وصول الشخص المسؤول، وبدلت الأسرار بعد الحادث. وقالت الوكالة أيضا إنها ستعزز مراقبة التحميلات إلى المستودعات العامة وتحسن طريقة إبلاغ الباحثين عن الثغرات التي تخص CISA نفسها.
CISA تقول إن المفاتيح المسربة لم تستخدم خارج الوكالة
قالت CISA إنها علمت في 15 مايو بأن مفاتيح Amazon AWS GovCloud ذات صلاحيات مرتفعة انكشفت عبر مستودع GitHub عام تابع لمتعاقد. وقالت الوكالة إنها تحركت لوقف ضرر إضافي عبر إيقاف المستودع وبيئة التطوير وإلغاء الوصول المرتبط بالشخص المسؤول عن التسريب.
قالت الوكالة إنها حللت بعد ذلك المستودع وملفات السجل لتحديد نطاق الحادث. ووفق حساب الوكالة الذي أوردته CyberScoop، لم تستخدم الاعتمادات المسربة خارج CISA ولم تتعرض بيانات العملاء أو بيانات المهام.
خلق الإفصاح مع ذلك اختبارا علنيا لوكالة تطلب بانتظام من مؤسسات أخرى مشاركة دروس الاستجابة للحوادث. وكتب Preston Werntz، القائم بأعمال كبير مسؤولي المعلومات، وBrad Libbey، القائم بأعمال كبير مسؤولي أمن المعلومات، أن تبادل المعلومات ضروري لتحديد الاتجاهات والوعي الوطني الأوسع.
مراقبة تحميلات GitHub تصبح بندا في المعالجة
قالت CISA إن الاستجابة نجحت في بعض الجوانب لأن الموظفين تعاملوا مع البلاغ بجدية، وامتلكوا سجلات قابلة للاستخدام، وطبقوا مبادئ الثقة الصفرية. وحددت الوكالة أيضا فجوات قالت إنها تحتاج إلى إصلاح بعد تعرض GitHub.
قالت الوكالة إنها ستستخدم قدرات endpoint detection and response لمراقبة وإدارة التحميلات إلى المستودعات العامة. كما بدلت جميع الأسرار بعد التسريب ووضعت خطة لتحسين إدارة الأسرار. وقالت CISA إن الحادث أظهر أن مراقبة المستودعات العامة يجب أن تدار قبل أن تصل تعرضات مشابهة إلى مرحلة الاستجابة نفسها.
قائمة المعالجة هذه أضيق من إصلاح كامل للاستجابة للاختراقات. لم يصف الحساب العام اختراق عملاء أو تعطلا تشغيليا أو سرقة بيانات. بل وصف تعرضا لاعتمادات سحابية ذات صلاحيات مرتفعة بسبب متعاقد وخطة تنظيف تركز على ضوابط المستودعات العامة وإدارة الأسرار وقنوات إبلاغ الباحثين.
قناة إبلاغ الباحثين تبقى جزءا من الإصلاح
قالت CISA إنها تريد تسهيل الإبلاغ عن الثغرات المتعلقة بالوكالة نفسها. وقالت الوكالة إنها أكثر اعتيادا على تلقي معلومات الثغرات الخاصة بمخاطر إلكترونية أوسع في القطاعين العام والخاص من تلقي مسائل تخص الوكالة نفسها.
قالت CISA أيضا إنها اضطرت إلى بناء دليل تعامل مع حوادث GitHub أثناء الاستجابة، وأقرت بالحاجة إلى إعداد أدلة لحوادث أخرى مسبقا. وقال Guillaume Valadon، الباحث الأمني في GitGuardian الذي كشف التسريب، لـ CyberScoop إن CISA شرحت ما حدث وما نجح وما يحتاج إلى تحسين.
وقال Valadon أيضا لـ CyberScoop إن الاستجابة اعترفت بفحص الأسرار وتبسيط العلاقة مع الباحثين. لم تسم CISA المتعاقد، ولم تنشر المستودع المكشوف، ولم تكشف مدة ظهور المفاتيح، ولم تدرج صلاحيات AWS الدقيقة، ولم تصدر تحققا مستقلا من نتائج مراجعة السجلات.


















