GitHub-repository lekte AWS-tokens en wachtwoorden cyberagentschap VS

[Captain Kirk]

AWS-tokens, wachtwoorden en Entra ID SAML certificaten van het Amerikaanse cyberagentschap CISA zijn via een publieke GitHub-repository gelekt. Onderzoekers van securitybedrijf GitGuardian vonden in totaal 844 megabyte aan vertrouwelijke data, waaronder CI/CD build logs, Kubernetes manifests, GitHub Actions workflows, back-ups met interne documentatie, allerlei soorten scripts, plaintext wachtwoorden en inloggegevens voor AWS GovCloud-servers en interne CISA systemen.

Volgens de onderzoekers gaf het gelekte materiaal een uitgebreid inzicht in de cloud-infrastructuur, deployment workflows, software supply-chain tooling en interne operationele procedures van het cyberagentschap. Zo konden de onderzoekers zien hoe het CISA intern software ontwikkelt, test en uitrolt. "De repository was een verzameling van onveilige praktijken: plaintext wachtwoorden, back-ups die naar Git werden gecommit en uitdrukkelijke instructies om de secret scanning van GitHub uit te schakelen."

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security speelt een belangrijke rol in de beveiliging van de Amerikaanse overheid. Het doet onderzoeken naar incidenten en publiceert geregeld beveiligingsadvies. De publieke GitHub-repository, opgezet door een contractor die voor het CISA werkte, werd op 14 mei ontdekt en aan het CISA gerapporteerd. Een dag later was die offline gehaald.

Onderzoeker Guillaume Valado van GitGuardian laat tegenover it-journalist Brian Krebs weten dat hij eerst dacht dat alle informatie nep was, totdat hij verder onderzoek deed. "Dit is het ergste lek dat ik ooit heb gezien. Het is duidelijk de fout van een individu, maar het zegt mogelijk iets over hoe er intern wordt gewerkt." Philippe Caturegli van securitybedrijf Seralys vermoedt dat de contractor GitHub gebruikte om bestanden tussen zijn werklaptop en thuiscomputer te synchroniseren.

 

bron: https://www.security.nl