CISA'da Büyük İhmal: Gizli Kimlik Bilgileri GitHub'da Sızdı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ciddi bir güvenlik skandalıyla karşı karşıya. Güvenlik araştırmacısı Brian Krebs tarafından paylaşılan bilgilere göre, CISA'ya ait şifrelerin, SSH özel anahtarlarının, token'ların ve diğer kritik hassas verilerin, Kasım 2025'ten beri GitHub üzerinde herkese açık bir depoda (repository) savunmasız şekilde beklediği ortaya çıktı.

"Private-CISA" adıyla oluşturulan ve şu an erişime kapatılan bu depo, GitGuardian'ın otomatik kod taramaları sayesinde Guillaume Valadon tarafından tespit edildi. Valadon, durumun ciddiyetini bildirmek için depo sahibiyle iletişime geçmeye çalışsa da yanıt alamayınca konuyu Brian Krebs'e taşıdı. Daha da vahimi, depo kayıtlarının incelenmesi sonucunda, GitHub'ın gizli verilerin yanlışlıkla paylaşılmasını önlemek için sunduğu varsayılan güvenlik korumalarının, depo yöneticisi tarafından manuel olarak devre dışı bırakıldığı belirlendi.

Sızıntının boyutlarını test eden Seralys kurucusu Philippe Caturegli, depoda bulunan kimlik bilgilerinin gerçek olduğunu doğruladı. Caturegli, bu verileri kullanarak Amazon Web Services (AWS) GovCloud hesaplarına "yüksek yetki seviyesinde" erişim sağlayabildiğini açıkladı. Söz konusu deponun, CISA'nın Virginia merkezli yüklenici firması Nightwing tarafından yönetildiği belirtiliyor. Nightwing firma yetkilileri konuyla ilgili açıklama yapmaktan kaçınarak tüm soruları CISA'ya yönlendirdi.

CISA'nın bu ihmali, kurumun son dönemdeki güvenlik hataları zincirine bir yenisini ekledi. Ocak ayında, dönemin CISA Direktör Vekili Madhu Gottumukkala'nın, kurum politikalarını çiğneyerek hassas hükümet belgelerini ChatGPT'ye yüklediği ortaya çıkmıştı. Bu skandalın ardından Gottumukkala, Şubat ayında görevinden alınmıştı.