ABD Siber Güvenlik Ajansı CISA'da Büyük S

ABD'nin siber güvenlikten sorumlu kurumu CISA, bir güvenlik araştırmacısının dikkati sayesinde büyük bir veri sızıntısından kıl payı kurtuldu. GitGuardian araştırmacısı Guillaume Valadon, CISA'ya hizmet veren bir alt yüklenici çalışanı tarafından GitHub üzerinde herkese açık hale getirilen bir depoda, kritik sistemlere erişim sağlayan düz metin formatındaki kimlik bilgilerini tespit etti.

Bağımsız güvenlik raporcusu Brian Krebs tarafından paylaşılan bilgilere göre; sızdırılan veriler arasında erişim jetonları, bulut anahtarları ve diğer hassas dosyaların yer aldığı elektronik tablolar bulunuyordu. Valadon, tespit ettiği anahtarların bir kısmını test ederek geçerli olduklarını doğruladı ve bu bilgilerin hem CISA hem de üst kurum olan İç Güvenlik Bakanlığı'na (DHS) ait sistemlere erişim sağladığını belirledi.

Olayın perde arkasında dikkat çeken detay ise, Valadon'un durumu önce ilgili alt yükleniciye bildirmesi ancak yanıt alamaması üzerine konuyu kamuoyuna duyurması oldu. Sivil federal ağların siber güvenliğinden sorumlu olan ve şifrelerin korumalı parola yöneticilerinde saklanması gerektiği konusunda rehberlik eden CISA'nın, şifrelerin korumasız tablolarda tutulması nedeniyle böyle bir güvenlik açığı yaşaması büyük bir ironi olarak değerlendiriliyor.

Söz konusu kimlik bilgilerinin Valadon dışında başka kişiler tarafından kullanılıp kullanılmadığı henüz netlik kazanmadı. TechCrunch'ın sorularını yanıtlamayan CISA sözcüsü, sızıntı kaynaklı bir ihlal kanıtı olup olmadığı veya sızdırılan anahtarların iptal edilip edilmediği konusunda herhangi bir açıklama yapmadı.

Bu güvenlik zafiyeti, CISA'nın zor bir dönemden geçtiği bir süreçte meydana geldi. Kurum, 20 Ocak 2025'te Jen Easterly'nin görevden ayrılmasının ardından kalıcı bir direktörden yoksunken; Trump yönetiminin göreve gelmesiyle birlikte kesintiler, ücretsiz izinler ve işten çıkarmalar nedeniyle iş gücünün yaklaşık üçte birini kaybetti.