CISA blamiert sich mit offenem GitHub-Repo voller Passwörter und AWS-Keys |
CISA blamiert sich mit offenem GitHub-Repo voller Passwörter und AWS-Keys
Peinliche Panne bei der US-Behörde CISA: Ein offenes GitHub-Repo enthielt monatelang Passwörter, AWS-Keys, geheime Token und vieles mehr.
Passwörter und Token offen im Netz
Dateien der CISA über sechs Monate öffentlich erreichbar
Anleitung zum Abschalten der Secret-Scans
Brian Krebs beschleunigte Löschung
Szene reagiert mit Spott
Selbst die CISA ist nicht vor menschlichen Fehlern sicher
Ausgerechnet die wichtigste US-Behörde für Cybersicherheit hat sich eine massive Sicherheitsblöße geleistet: Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) ließ offenbar über Monate hinweg ein öffentlich erreichbares GitHub-Repository online, das sensible Zugangsdaten, private Schlüssel und Infrastruktur-Geheimnisse im Klartext enthielt. Besonders brisant: Das Repository trug laut Berichten sogar den Namen „Private-CISA“. Auffälliger geht es kaum.
Passwörter und Token offen im Netz
Entdeckt hat das Leck der GitGuardian-Forscher Guillaume Valadon. Der Sicherheitsexperte stieß am 14. Mai auf das Repository und erkannte sofort die Tragweite des Vorfalls. In dem öffentlich erreichbaren GitHub-Projekt lagen laut seinen Angaben unter anderem:
Kubernetes-Konfigurationen,
sowie Zugangsdaten für interne Systeme der Behörde.
Die Dateinamen wirkten dabei laut Valadon fast schon absurd:
external-secret-repo-creds.yaml
Important AWS Tokens.txt
AWS-Workspace-Firefox-Passwords.csv
Der Forscher erklärte später, er habe zunächst an einen Scherz geglaubt, weil die Struktur des Repositories „zu offensichtlich“ wirkte.
Dateien der CISA über sechs Monate öffentlich erreichbar
Besonders problematisch: Die Daten sollen rund sechs Monate lang öffentlich zugänglich gewesen sein. Laut GitGuardian umfasste das Repository rund 844 Megabyte an Infrastrukturmaterial aus produktiven Umgebungen.
Valadon bezeichnete den Vorfall als einen der schwerwiegendsten Sicherheits-Leaks, den man sich vorstellen könne: „Eine nationale Sicherheitsbehörde mit fast einem Gigabyte........