Adatsértések

CISA Alvállalkozó AWS Kulcsokat és Jelszavakat Szivárogtatott ki egy Nyilvános GitHub Repóba

2026. május 21.5 perc olvasás

By David Nakamura — Security tooling and full-stack development background

CISA Alvállalkozó AWS Kulcsokat és Jelszavakat Szivárogtatott ki egy Nyilvános GitHub Repóba

A Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökség, közismert nevén CISA, az Egyesült Államok kormányának elsődleges hatósága a digitális infrastruktúra védelmére. Biztonsági figyelmeztetéseket ad ki, szabványokat határoz meg szövetségi ügynökségek számára, és rendszeresen figyelmezteti a nyilvánosságot a hitelesítő adatok megfelelő kezelésével kapcsolatban. Éppen ezért, amikor egy CISA-alvállalkozó titkosítatlan jelszavakat és magas jogosultságú AWS felhőkulcsokat hagyott egy nyilvános GitHub-tárolóban, az eset súlyos csapást mért az ügynökség hitelességére. Ez a kormányzati hitelesítőadat-szivárgásból levonható biztonsági tanulság messze túlmutat Washingtonon.

Mit Tárt Fel Valójában a CISA Alvállalkozója

A kiszivárgott anyag nem volt jelentéktelen. A titkosítatlan jelszavak a legegyszerűbb értelemben egy hitelesítő adat nyers, titkosítatlan formái. Aki ilyen jelszóra bukkan, azonnal felhasználhatja, minden technikai tudás nélkül. Nincs hashérték, amelyet fel kellene törni, nincs kódolás, amelyet vissza kellene fejteni.

Még riasztóbbak voltak a nyilvánosságra kerülő AWS felhőkulcsok. Az Amazon Web Services (AWS) hozzáférési kulcsok főazonosítóként működnek felhőkörnyezetekben. A magas jogosultságú kulcsok különösen veszélyesek, hiszen aki megszerzi őket, képes adatokat olvasni, szervereket elindítani vagy megsemmisíteni, konfigurációkat módosítani, és potenciálisan mélyebbre hatolni a kapcsolódó rendszerekbe. Egy GovCloud-fiók esetén – amelyre a demokrata kongresszusi képviselők rá is mutattak a magyarázatot követelő felszólalásaikban – a tét lényegesen magasabb, mint egy személyes fejlesztői fióknál.

Az a tény, hogy mindez egy nyilvános GitHub-tárolóba került, azt jelenti, hogy legalább egy ideig bárki megtalálhatta. Az automatizált botok rendszeresen pásztázzák a GitHubot pontosan ilyen anyagok után kutatva, gyakran perceken belül azután, hogy egy fájlt feltöltenek. Az expozíció ablaka lehet, hogy rövid volt, de a kockázat valós és súlyos volt.

Miért Vallanak Kudarcot az Állami Szervek Újra és Újra az Alapoknál

Ez az eset nem egyedi. Az állami szerveknek és alvállalkozóiknak jól dokumentált mintázatuk van az alapvető biztonsági gyakorlatokban való botlásra, miközben ők írják azokat a szabálykönyveket, amelyeket mindenkinek követnie kellene. Az FBI igazgatójának személyes e-mail fiókja elleni hackertámadás hasonló dinamikát mutatott be: a biztonsági hatóságként fellépő személyek és intézmények sem immunisak a legelemibb hibákkal szemben.

Több strukturális tényező is hozzájárul ehhez a mintázathoz. Az alvállalkozók az ügynökség felügyeletének peremén működnek, és előfordulhat, hogy nem részesülnek ugyanolyan biztonsági képzésben, mint a teljes munkaidős alkalmazottak. A fejlesztői munkafolyamatok, különösen akkor, amikor egy projekt gyors ütemben halad, nyomást teremtenek a rövidítésre: a hitelesítő adatok kódbázisba való beégetése vagy a titkos fájlok véletlenszerű nyilvános repóba való feltöltése meglepően elterjedt fejlesztői hiba minden szektorban.

A nagy szervezetek szintén küzdenek a titkos adatok szétterjedésével: tucatnyi rendszer, tucatnyi hitelesítő adat, és egyetlen felelős pont sincs, amely biztosítaná, hogy mindegyiket megfelelően tárolják, rendszeresen cseréljék és visszavonják. Amikor ez a szervezet egy kormányzati alvállalkozó, a szétterjedés ügynökségeken, szerződéseken és al-alvállalkozókon keresztül terjed, megsokszorozva a felületet pontosan az ilyen típusú hibák számára.

Mit Jelent Ez az Intézményekben Bízó Hétköznapi Felhasználóknak

A kellemetlen következtetés egyértelmű: egyetlen intézménynek sem lehet vakon megbízni az adataink vagy hitelesítő adataink biztonságos kezelésében, bármilyen tekintélyes is legyen. A CISA határozza meg a szövetségi kiberbiztonsági útmutatások mércéjét. Ha egy, az ügynökségnek dolgozó alvállalkozó képes ilyen alapvető hibát elkövetni, nincs okunk feltételezni, hogy bármely más, az adatainkkal foglalkozó szervezet immunis erre.

Ez azért fontos, mert a legtöbb ember azzal az implicit feltételezéssel él, hogy az állami szervek és a nagy vállalatok gondoskodnak a biztonságról. Nem gondolkodnak kétszer a jelszavak több szolgáltatáson való újrafelhasználásán vagy a kétfaktoros hitelesítés kihagyásán, mert megbíznak a másik oldalon lévő platformokban és intézményekben. Az ehhez hasonló CISA alvállalkozói szivárgásoknak meg kellene ingatniuk ezt a feltételezést. A nagy kormányzati szerveket érintő adatszivárgások annyira rendszeressé váltak, hogy a kérdés már nem az, hogy az intézmények meghibásodnak-e, hanem az, hogy mikor.

Személyes biztonsági álláspontod nem függhet az övékéitől.

A Rétegelt Biztonsági Ellenőrzőlista: Amit Valójában Kontrollálhatsz

A CISA-incidens hasznos ösztönzőként szolgálhat saját hitelesítőadat-kezelési gyakorlataid felülvizsgálatához. A rétegelt biztonság azt jelenti, hogy egyetlen meghibásodási pont sem képes veszélyeztetni mindent, ami fontos számodra. Íme, hol érdemes kezdeni:

Jelszókezelők. Ha jelszavaid egy táblázatban, egy note-alkalmazásban vagy a memóriádban tárolod, azok vagy gyengék, újrafelhasználtak, vagy mindkettő. A jelszókezelő összetett, egyedi jelszavakat generál és tárol minden fiókhoz. Ha az egyik szolgáltatást feltörik, a kár korlátozott marad.

Kétfaktoros hitelesítés (2FA). Még ha egy jelszó nyilvánosságra is kerül titkosítatlan formában, a második tényezőhöz való hozzáférés nélkül egy támadó nem tud bejelentkezni. Ahol lehetséges, használj hitelesítő alkalmazást az SMS helyett, mivel az SMS SIM-csere támadásokon keresztül elfogható.

Érzékeny adatok titkosítása. A hitelesítő adatokat, pénzügyi nyilvántartásokat vagy személyes információkat tartalmazó fájlokat nyugalmi állapotban titkosítani kell. A felhőalapú tárolás kényelmes, de a kényelem és a biztonság nem ugyanaz.

Rendszeres hitelesítőadat-ellenőrzések. Ellenőrizd, hogy e-mail-címeid vagy jelszavaid szerepelnek-e ismert adatszivárgási adatbázisokban. Az olyan szolgáltatások, mint a Have I Been Pwned, lehetővé teszik a keresést anélkül, hogy a szükségesnél több adatot kellene megadnod.

Ahol a VPN-ek illeszkednek a képbe. A VPN védi az adatokat átvitel közben, különösen nyilvános vagy nem megbízható hálózatokon, azáltal, hogy titkosítja az eszköz és az internet közötti kapcsolatot. Ez egy hasznos réteg egy szélesebb biztonsági eszköztárban, bár nem véd a hitelesítőadat-lopás, az adathalászat vagy az itt bekövetkezett típusú expozíció ellen. Gondolj rá úgy, mint egy eszközre a sok közül, nem pedig teljes megoldásként.

Védd Meg Magad, Ne Várj az Intézményekre

A CISA alvállalkozói szivárgás kínos az ügynökség számára, de mindenki más számára konkrét emlékeztető arra, hogy a hitelesítő adatok gondos kezelése személyes felelősség. Sem munkáltató, sem kormányzati szerv, sem platform nem garantálhatja, hogy a te adataidat a megfelelő módon kezelik a saját oldalukon. Amit kontrollálhatsz, az a saját hitelesítő adataid kezelése és az, hogy egyetlen meghibásodási pont valójában mekkora kárt okozhat.

Ellenőrizd a jelszavaidat ezen a héten. Engedélyezd a 2FA-t minden olyan fiókon, amely támogatja. És kezeld ezt a történetet – az FBI igazgatójának e-mail-feltörésével együtt – bizonyítékként arra, hogy a legfontosabb biztonsági döntések, amelyeket meghozol, azok a te saját eszközeiden történnek, nem valaki más felhőjében.

// GYIK

Pontosan mi szivárgott ki a CISA alvállalkozó GitHub-incidensében?

Az alvállalkozó titkosítatlan jelszavakat és magas jogosultságú AWS felhőkulcsokat tett közzé egy nyilvános GitHub-tárolóban. A titkosítatlan jelszavak használatához nem szükséges technikai tudás, a magas jogosultságú AWS kulcsok pedig lehetővé tehetnék bárki számára az adatok olvasását, szerverek elindítását vagy megsemmisítését, valamint felhőkonfigurációk módosítását.

Miért tekintik különösen veszélyesnek a magas jogosultságú AWS kulcsokat?

A magas jogosultságú AWS kulcsok lehetővé tehetik a tulajdonosuk számára az adatok olvasását, szerverek megsemmisítését, konfigurációk módosítását és mélyebb behatolást a kapcsolódó rendszerekbe. Az expozíció különösen súlyos volt, mivel az érintett fiók állítólag egy GovCloud-fiók volt, amely magasabb kockázatot jelent, mint egy személyes fejlesztői fiók.

Milyen gyorsan fedezhették fel mások a kiszivárgott hitelesítő adatokat?

Az automatizált botok rendszeresen pásztázzák a GitHubot a kiszivárgott hitelesítő adatok után, gyakran perceken belül azután, hogy egy fájlt feltöltenek. Bár az expozíció ablaka rövid lehetett, a kockázatot valósnak és súlyosnak tekintették.

Miért vallanak kudarcot az állami szervek újra és újra az alapvető biztonsági gyakorlatokban?

Több tényező is hozzájárul ehhez, többek között az, hogy az alvállalkozók az ügynökség felügyeletének peremén működnek, anélkül, hogy ugyanolyan biztonsági képzést kapnának, mint a teljes munkaidős alkalmazottak; a fejlesztői nyomás a gyors haladásra rövidítésekhez vezet; valamint a nagy szervezetekben nincs egyetlen felelős pont a hitelesítő adatok kezelésére.

Szokatlan-e az ilyen típusú incidens az állami szervek esetében?

Nem, a cikk megjegyzi, hogy az állami szerveknek és alvállalkozóiknak jól dokumentált mintázatuk van az alapvető biztonsági gyakorlatokban való kudarcra, miközben ők írják azokat a biztonsági szabálykönyveket, amelyeket másoknak követniük kell. A cikk az FBI igazgatójának személyes e-mail fiókja elleni hackertámadást idézi egy hasonló dinamika másik példájaként.

CISA Alvállalkozó AWS Kulcsokat és Jelszavakat Szivárogtatott ki egy Nyilvános GitHub Repóba

Mit Tárt Fel Valójában a CISA Alvállalkozója

Miért Vallanak Kudarcot az Állami Szervek Újra és Újra az Alapoknál

Mit Jelent Ez az Intézményekben Bízó Hétköznapi Felhasználóknak

A Rétegelt Biztonsági Ellenőrzőlista: Amit Valójában Kontrollálhatsz

Védd Meg Magad, Ne Várj az Intézményekre

// GYIK

// Kapcsolódó