Утечка данных подрядчика CISA Nightwing на GitHub раскрыла ключи AWS GovCloud

Утечка данных подрядчика CISA Nightwing на GitHub раскрыла ключи AWS GovCloud

Публично доступный репозиторий GitHub, связанный с государственным подрядчиком Nightwing, раскрыл конфиденциальные учётные данные и ключи доступа к облачным сервисам, подключённым к системам Агентства по кибербезопасности и безопасности инфраструктуры (CISA) и Министерства внутренней безопасности. Утечка учётных данных подрядчика CISA на GitHub вызвала немедленные требования со стороны законодателей, которые настаивают на том, чтобы CISA провело полный инструктаж о масштабах раскрытия данных и принимаемых мерах по устранению последствий.

Этот инцидент — наглядное напоминание о том, что даже агентства, ответственные за установление федеральных стандартов кибербезопасности, уязвимы перед теми же элементарными ошибками, которые преследуют организации любого масштаба.

Что было раскрыто в репозитории Nightwing на GitHub

Репозиторий, ставший центром инцидента, был публично доступен на GitHub и содержал то, что исследователи охарактеризовали как привилегированные учётные данные, в том числе токены аутентификации и ключи доступа к облачным сервисам, связанные со средами AWS GovCloud, используемыми CISA и DHS. AWS GovCloud — это закрытая облачная среда, созданная специально для обработки конфиденциальных рабочих нагрузок правительства США, что делает факт раскрытия данных особенно значимым.

По имеющимся сведениям, репозиторий был назван таким образом, что предполагал его приватный характер, — это указывает на простую, но серьёзную по последствиям ошибку конфигурации. Исследователи, обнаружившие проблему, успели идентифицировать учётные данные до того, как репозиторий был удалён, однако период открытого доступа оказался достаточно продолжительным, чтобы возникли серьёзные вопросы о том, насколько оперативно подобные утечки выявляются внутри организации.

Законодатели не заставили себя долго ждать. Старшие члены Конгресса уже добиваются прямого инструктажа от CISA, чтобы выяснить, к каким системам мог быть получен доступ, были ли использованы скомпрометированные учётные данные и почему утечка не была своевременно обнаружена ни агентством, ни его подрядчиком.

Почему утечки учётных данных аутентификации особенно опасны

Не все утечки данных несут одинаковый уровень риска. Раскрытие имён и адресов электронной почты наносит вред; раскрытие активных учётных данных аутентификации и ключей доступа к облачным сервисам — это угроза совершенно иного порядка.

Когда API-ключи, токены доступа или облачные учётные данные публикуются в общедоступном репозитории, любой, кто их обнаружит, потенциально может воспользоваться ими немедленно. В отличие от утечки паролей, при которой хешированные учётные данные необходимо взломать, прежде чем они станут пригодными для использования, живой API-ключ или токен доступа готов к применению в тот же момент, как будет найден. Злоумышленники могут напрямую аутентифицироваться в облачных средах, перечислять ресурсы, повышать привилегии, похищать данные или нарушать работу сервисов — и всё это без активации тех предупреждений, которые могут сработать при традиционных попытках вторжения.

В государственном контексте ставки многократно возрастают из-за чувствительности задействованных систем. Экземпляры AWS GovCloud нередко хранят контролируемую несекретную информацию, а доступ к этим средам мог бы предоставить противнику детальную карту федеральной инфраструктуры. Даже если немедленной эксплуатации не произошло, разведывательная ценность понимания того, как устроены и как аутентифицируются системы CISA, весьма значительна.

Как ошибки государственных подрядчиков повторяют повседневные просчёты в сфере безопасности

Что делает этот инцидент поучительным, помимо его непосредственных политических последствий, — так это то, насколько банальна лежащая в его основе ошибка. Случайная публикация учётных данных в общедоступном репозитории неизменно входит в перечень наиболее распространённых ошибок разработчиков в области безопасности. Это случается в стартапах, крупных корпорациях, проектах с открытым исходным кодом и, по всей видимости, внутри подрядной экосистемы, обслуживающей главное агентство кибербезопасности страны.

Схема институционального ненадлежащего управления данными, влекущей за собой парламентский контроль, становится всё более привычной. Совсем недавно взлом Canvas группой ShinyHunters развивался по схожему сценарию: подрядчик или поставщик не обеспечил защиту конфиденциальных данных, инцидент стал достоянием общественности, и законодатели потребовали привлечения виновных к ответственности. Конкретные обстоятельства различаются, однако структурный сбой одинаков. Организации доверяют конфиденциальные учётные данные или данные третьим сторонам, а те далеко не всегда соблюдают те же стандарты, которых придерживается основная организация.

Для CISA имиджевые последствия особенно неудобны. Агентство годами публикует руководства, призывая организации государственного и частного сектора не хранить секреты в репозиториях кода, регулярно ротировать учётные данные и внедрять автоматизированное сканирование на предмет раскрытых ключей. То, что подрядчик поступил именно так, как CISA предостерегает других не делать, подрывает авторитет агентства в этих вопросах и даёт аргументы критикам, утверждающим, что федеральная позиция в области кибербезопасности носит показной, а не практический характер.

Как не допустить утечки собственных учётных данных в интернет

Инцидент с Nightwing — полезный повод для каждого, кто управляет учётными данными, а сегодня это практически каждый разработчик, IT-специалист и даже многие рядовые пользователи, полагающиеся на облачные сервисы или управляющие собственными инструментами.

Ниже представлены конкретные шаги для проверки и улучшения гигиены работы с учётными данными:

Никогда не прописывайте учётные данные непосредственно в коде. Используйте переменные среды или специализированные инструменты управления секретами, чтобы учётные данные не попадали в исходные файлы. Если вы используете сервис, предоставляющий SDK или CLI, ознакомьтесь с его документацией на предмет рекомендуемого способа аутентификации без встраивания ключей в код.

Сканируйте репозитории перед отправкой изменений. Инструменты, специально разработанные для обнаружения секретов в коде, могут запускаться как хуки pre-commit, сигнализируя о потенциальных утечках до того, как они попадут в удалённый репозиторий. Также стоит провести сканирование существующих репозиториев — как приватных, так и публичных.

Регулярно ротируйте учётные данные и делайте это незамедлительно при малейшем подозрении на утечку. Если есть хоть малейший шанс, что учётные данные были доступны посторонним, считайте их скомпрометированными и немедленно проведите ротацию. Многие облачные провайдеры позволяют выпустить новый ключ и отозвать старый без какого-либо простоя.

По возможности используйте краткосрочные учётные данные. Временные учётные данные с ограниченными разрешениями и автоматическим истечением срока действия сокращают окно потенциального ущерба в случае их раскрытия. Облачные провайдеры всё активнее поддерживают федерацию удостоверений и управление доступом на основе ролей, что устраняет необходимость в долгосрочных статических ключах.

Проводите аудит доступа третьих сторон. Если вы работаете с подрядчиками, поставщиками или интеграциями с открытым исходным кодом, периодически проверяйте, какие учётные данные и разрешения вы им предоставили. Отзывайте доступ, который больше не нужен.

Что это означает для вас

Утечка учётных данных подрядчика CISA на GitHub — это не только проблема государственного масштаба. Она отражает системную слабость в том, как организации всех типов обращаются с секретами: слабость, затрагивающую каждого, кто хранит учётные данные в коде, использует облачные сервисы или полагается на подрядчиков в управлении конфиденциальными системами.

Воспользуйтесь этим как поводом провести собственный аудит. Проверьте свои репозитории, изучите перечень ключей доступа к облачным сервисам и убедитесь, что никакие учётные данные не находятся там, где их быть не должно. Та же дисциплина, которую CISA публично пропагандирует, но, по всей видимости, не смогло обеспечить внутри своей экосистемы, доступна каждому — и её превентивное применение обходится несравнимо дешевле, чем ликвидация последствий утечки.

Если агентство, отвечающее за защиту критически важной инфраструктуры США, может столкнуться с подобным конфузом из-за элементарной ошибки подрядчика, это разумный повод задаться вопросом: а находится ли ваш собственный «дом» в таком же порядке?