Wat werd er precies gelekt bij het GitHub-incident met de CISA-aannemer?

De aannemer stelde onversleutelde wachtwoorden en AWS-cloudsleutels met hoge privileges bloot in een openbare GitHub-repository. Onversleutelde wachtwoorden vereisen geen technische kennis om te gebruiken, en de AWS-sleutels met hoge privileges konden iedereen in staat stellen gegevens te lezen, servers op te starten of te vernietigen en cloudconfiguraties te wijzigen.

Waarom worden AWS-sleutels met hoge privileges als bijzonder gevaarlijk beschouwd?

AWS-sleutels met hoge privileges kunnen houders in staat stellen gegevens te lezen, servers te vernietigen, configuraties te wijzigen en dieper door te dringen in verbonden systemen. De blootstelling was bijzonder ernstig omdat het betrokken account naar verluidt een GovCloud-account was, wat hogere risico's met zich meebrengt dan een persoonlijk ontwikkelaarsaccount.

Hoe snel hadden de blootgestelde inloggegevens door anderen ontdekt kunnen worden?

Geautomatiseerde bots scannen GitHub routinematig op blootgestelde inloggegevens, vaak binnen enkele minuten nadat een bestand is gepusht. Hoewel het venster van blootstelling misschien kort was, werd het risico als reëel en ernstig beschouwd.

Waarom falen overheidsinstanties herhaaldelijk bij basisbeveiligingspraktijken?

Verschillende factoren dragen hieraan bij, waaronder aannemers die opereren aan de rand van het toezicht van een agentschap zonder dezelfde beveiligingstraining als vaste medewerkers, de druk op ontwikkelaars om snel te werken wat leidt tot shortcuts, en de verspreiding van geheimen binnen grote organisaties zonder een centraal aanspreekpunt voor het beheer van inloggegevens.

Is dit soort incident ongebruikelijk voor overheidsinstanties?

Nee, het artikel merkt op dat overheidsinstanties en hun aannemers een goed gedocumenteerd patroon hebben van falen op het gebied van fundamentele beveiligingspraktijken, zelfs terwijl ze de beveiligingsregels schrijven die anderen moeten volgen. Het artikel noemt het hacken van het persoonlijke e-mailaccount van de FBI-directeur als een ander voorbeeld van een vergelijkbare dynamiek.

CISA-aannemer lekt AWS-sleutels en wachtwoorden op openbare GitHub

Het Cybersecurity and Infrastructure Security Agency, beter bekend als CISA, is de belangrijkste autoriteit van de Amerikaanse overheid op het gebied van de bescherming van digitale infrastructuur. Het publiceert beveiligingsadviezen, stelt normen op voor federale overheidsinstanties en waarschuwt het publiek regelmatig over het correct omgaan met inloggegevens. Toen een aannemer van CISA onversleutelde wachtwoorden en AWS-cloudsleutels met hoge privileges achterliet in een openbare GitHub-repository, was de impact op de geloofwaardigheid van het agentschap dan ook verwoestend. Deze beveiligingsles over het lekken van overheidsinloggegevens reikt ver buiten Washington.

Wat de CISA-aannemer precies heeft blootgesteld

Het gelekte materiaal was allesbehalve onbeduidend. Onversleutelde wachtwoorden zijn, simpel gezegd, de ruwe, niet-versleutelde vorm van een inloggegevens. Iedereen die een onversleuteld wachtwoord tegenkomt, kan het onmiddellijk gebruiken, zonder enige technische kennis. Er valt niets te kraken of te decoderen.

Nog alarmerender waren de blootgestelde AWS-cloudsleutels. Amazon Web Services (AWS)-toegangssleutels fungeren als hoofdidentificatoren voor cloudomgevingen. Sleutels met hoge privileges kunnen degene die ze bezit in staat stellen gegevens te lezen, servers op te starten of te vernietigen, configuraties te wijzigen en mogelijk dieper door te dringen in verbonden systemen. Op een GovCloud-account — waarop democratische congresleden hebben gewezen in hun verzoeken om opheldering — zijn de risico's aanzienlijk groter dan bij een persoonlijk ontwikkelaarsaccount.

Het feit dat dit alles terechtkwam in een openbare GitHub-repository betekent dat het, althans gedurende een bepaalde periode, vindbaar was voor iedereen. Geautomatiseerde bots scannen GitHub routinematig op precies dit soort materiaal, vaak binnen enkele minuten nadat een bestand is gepusht. Het venster van blootstelling was misschien kort, maar het risico was reëel en ernstig.

Waarom overheidsinstanties blijven falen bij de basis

Dit incident staat niet op zichzelf. Overheidsinstanties en hun aannemers hebben een goed gedocumenteerd patroon van struikelen over fundamentele beveiligingspraktijken, zelfs terwijl ze de regelboeken schrijven die iedereen else geacht wordt te volgen. Het hacken van het persoonlijke e-mailaccount van de FBI-directeur illustreerde een vergelijkbare dynamiek: de mensen en instellingen die als beveiligingsautoriteiten worden gezien, zijn niet immuun voor de meest elementaire fouten.

Verschillende structurele factoren dragen bij aan dit patroon. Aannemers opereren aan de rand van het toezicht van een agentschap en ontvangen mogelijk niet dezelfde beveiligingstraining als vaste medewerkers. Ontwikkelaarsworkflows, zeker bij projecten waarbij snel gewerkt wordt, creëren druk om shortcuts te nemen, en het hardcoderen van inloggegevens in een codebase of het per ongeluk committen van een bestand met geheimen naar een openbare repository is een opmerkelijk veelgemaakte fout door ontwikkelaars in alle sectoren.

Grote organisaties worstelen ook met het probleem van geheime verspreiding: tientallen systemen, tientallen inloggegevens en geen enkel centraal aanspreekpunt dat verantwoordelijk is voor het correct opslaan, roteren en intrekken ervan. Wanneer die organisatie een overheidsaannemer is, strekt die verspreiding zich uit over agentschappen, contracten en onderaannemers, waardoor het aanvalsoppervlak voor precies dit soort fouten exponentieel toeneemt.

Wat dit betekent voor gewone gebruikers die instellingen vertrouwen

De ongemakkelijke conclusie hier is eenvoudig: geen enkele instelling, hoe gezaghebbend ook, kan worden vertrouwd als veilige haven voor uw gegevens of inloggegevens. CISA stelt de norm voor federale cyberbeveiligingsrichtlijnen. Als een aannemer die voor dat agentschap werkt zo'n fundamentele fout kan maken, is er geen reden om aan te nemen dat een andere organisatie die uw informatie beheert, immuun is.

Dit is van belang omdat de meeste mensen impliciet aannemen dat overheidsinstanties en grote bedrijven beveiliging goed op orde hebben. Ze denken er niet twee keer over na om een wachtwoord te hergebruiken voor meerdere diensten, of om tweefactorauthenticatie over te slaan, omdat ze de platforms en instellingen aan de andere kant vertrouwen. Gebeurtenissen zoals dit lek door een CISA-aannemer zouden die veronderstelling moeten doorbreken. Inbreuken die grote overheidsinstanties treffen zijn inmiddels zo gewoon geworden dat de vraag niet meer is óf instellingen falen, maar wanneer.

Uw persoonlijke beveiliging kan niet afhangen van die van hen.

De gelaagde beveiligingschecklist: wat u zelf kunt beheersen

Het CISA-incident is een nuttige aanleiding om uw eigen inloggegevenspraktijken te controleren. Gelaagde beveiliging betekent dat geen enkel faalpunt alles wat u belangrijk vindt in gevaar kan brengen. Dit is waar u kunt beginnen:

Wachtwoordbeheerders. Als uw wachtwoorden zijn opgeslagen in een spreadsheet, een notities-app of uw geheugen, zijn ze ofwel zwak, hergebruikt, of beide. Een wachtwoordbeheerder genereert en bewaart complexe, unieke wachtwoorden voor elk account. Als één dienst wordt gehackt, blijft de schade beperkt.

Tweefactorauthenticatie (2FA). Zelfs als een wachtwoord in onversleutelde vorm wordt blootgesteld, kan een aanvaller zonder toegang tot uw tweede factor niet inloggen. Gebruik waar mogelijk een authenticator-app in plaats van sms, omdat sms onderschept kan worden via SIM-swapping-aanvallen.

Versleuteling voor gevoelige gegevens. Bestanden met inloggegevens, financiële gegevens of persoonlijke informatie moeten in rust versleuteld zijn. Cloudopslag is handig, maar gemak en beveiliging zijn niet hetzelfde.

Regelmatige controle van inloggegevens. Controleer of uw e-mailadressen of wachtwoorden zijn opgedoken in bekende inbreukdatabases. Diensten zoals Have I Been Pwned stellen u in staat te zoeken zonder dat u meer gegevens hoeft te verstrekken dan nodig is.

De rol van VPN's. Een VPN beschermt gegevens tijdens overdracht, met name op openbare of onbetrouwbare netwerken, door de verbinding tussen uw apparaat en het internet te versleutelen. Het is één nuttige laag in een bredere beveiligingsstack, maar het biedt geen bescherming tegen diefstal van inloggegevens, phishing of het soort blootstelling dat hier heeft plaatsgevonden. Beschouw het als één hulpmiddel onder meerdere, niet als een complete oplossing.

Bescherm uzelf, wacht niet op instellingen om dat te doen

Het lek door de CISA-aannemer is beschamend voor het agentschap, maar voor iedereen else is het een concrete herinnering dat het zorgvuldig omgaan met inloggegevens een persoonlijke verantwoordelijkheid is. Geen werkgever, overheidsinstantie of platform kan garanderen dat uw gegevens aan hun kant correct worden verwerkt. Wat u wél kunt beheersen, is hoe u uw eigen inloggegevens beheert en hoeveel schade een enkel faalpunt daadwerkelijk kan aanrichten.

Controleer uw wachtwoorden deze week. Schakel 2FA in op elk account dat dit ondersteunt. En beschouw dit verhaal, samen met de e-mailinbreuk bij de FBI-directeur, als bewijs dat de belangrijkste beveiligingsbeslissingen die u neemt, plaatsvinden op uw eigen apparaten, niet in de cloud van iemand anders.