Ключевые выводы
- Исследователь GitGuardian обнаружил в открытом репозитории GitHub более 2000 строк открытых облачных ключей и токенов, относящихся к CISA.
- Тестирование показало, что ключи действительно работали, но их использование было зафиксировано только самим исследователем.
- Инцидент подчеркивает проблемы с управлением доступом у подрядчиков и отсутствие постоянного руководства в CISA.
В мире, где каждый клик может стать точкой входа для хакеров, даже небольшая ошибка в виде забытого файла с паролями может стоить государству миллионов. Именно об этом рассказывает недавний случай с CISA.
Что случилось: утечка учетных данных в открытом репозитории
В начале мая 2026 года независимый исследователь по кибербезопасности Гийом Валадон (GitGuardian) наткнулся на публичный репозиторий на GitHub, где подрядчик CISA хранил несколько табличных файлов. Внутри – миллионы строк открытого текста: токены доступа, SSH‑ключи, пароли к AWS GovCloud и другим сервисам.
Эти файлы принадлежали сотруднику подрядчика, который, по всей видимости, забыл удалить их после тестов. Их содержание позволяло получить доступ к облачным ресурсам Федерального управления по кибербезопасности (CISA) и к системам Министерства внутренней безопасности (DHS).
Валадон проверил несколько ключей, отправив запросы к AWS‑консолям. Ответы подтвердили, что токены активны. Он сразу же сообщил об этом независимому журналисту по кибербезопасности Брайану Кребсу, а затем попытался связаться с подрядчиком, но те не отреагировали.
К счастью, обнародование инцидента произошло до того, как злоумышленники смогли воспользоваться уязвимостью, и CISA смогла отозвать компрометированные креденшелы.
Почему это важно для национальной кибербезопасности
CISA отвечает за защиту гражданских федеральных сетей США, а также за разработку рекомендаций по кибербезопасности. Если бы утечка осталась незамеченной, злоумышленники могли бы получить доступ к критически важным данным, внедрить вредоносный код или даже нарушить работу государственных сервисов.
Случай раскрывает две фундаментальные проблемы:
- Управление доступом у подрядчиков. Подрядчики часто имеют такие же привилегии, как и сотрудники агентства, но их контроль хуже. Нужно требовать от них строгих политик по управлению секретами.
- Отсутствие постоянного руководства. С января 2025 года у CISA нет директора, а штат сократился почти на треть. Недостаток руководства затрудняет быстрый отклик на инциденты.
Как исследователь помог избежать катастрофы
Гийом Валадон не просто нашел файлы – он проверил их работоспособность, задокументировал результаты и публично раскрыл проблему. Такой подход соответствует принципу «ответственного раскрытия» (responsible disclosure): сначала уведомление владельца, а только после – публикация.
Если бы подрядчик своевременно отозвал ключи, утечка могла бы оставаться в тени, а злоумышленники — в тени тоже. Именно поэтому роль «честных» исследователей так важна: они становятся дополнительным слоем обороны.
Что уже сделано и какие шаги планируются
По состоянию на середину мая CISA официально не комментирует детали, но сообщает, что «проведена проверка и отозваны уязвимые креденшелы». Ожидается, что агентство укрепит процессы:
- Внедрит автоматическую проверку репозиториев на наличие секретов (GitHub Advanced Security, проверки CI/CD).
- Пересмотрит контракты с подрядчиками, добавив требования по управлению секретами.
- Ускорит процесс назначения постоянного директора, чтобы улучшить реакцию на инциденты.
Какие уроки вынести организациям всех размеров
Даже малый бизнес часто хранит пароли в открытых файлах. Примеры из практики показывают, что:
- Используйте менеджеры секретов (HashiCorp Vault, AWS Secrets Manager) вместо простых таблиц.
- Настройте сканирование кода на предмет раскрытых креденселов (TruffleHog, Gitleaks).
- Обучайте всех подрядчиков базовым принципам управления доступом.
В конечном итоге, единственная «сильная» защита – это культура безопасности, где каждый понимает цену даже одной утечки.
Справка
CISA (Cybersecurity and Infrastructure Security Agency) – федеральное агентство США, созданное в 2018 году в рамках DHS. Оно отвечает за защиту критической инфраструктуры, киберугрозы и реагирование на инциденты. Руководитель агентства назначается президентом и утверждается Сенатом.
DHS (Department of Homeland Security) – министерство, объединяющее различные службы, включая пограничный контроль, транспортную безопасность и киберзащиту. Основано в 2002 году после террористических атак 11 сентября.
GitGuardian – компания, специализирующаяся на автоматическом поиске и защите утекших секретов в коде. Их платформа сканирует публичные и частные репозитории, предупреждая о потенциальных утечках.
Brian Krebs – известный независимый журналист в сфере кибербезопасности, автор сайта KrebsOnSecurity. Он часто первым оповещает общественность о крупных утечках и уязвимостях.
AWS GovCloud (Amazon Web Services GovCloud) – отдельный облачный регион Amazon, предназначенный для работы с правительственными данными США, соответствующий строгим требованиям FISMA и FedRAMP.
Инцидент с CISA – напоминание, что даже лучшие в своей сфере организации могут ошибаться. Главное – быстро реагировать, учиться на ошибках и укреплять систему защиты.
