ผู้รับเหมาของ CISA รั่วไหล AWS Keys และรหัสผ่านบน GitHub สาธารณะ
สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน หรือที่รู้จักกันในชื่อ CISA คือหน่วยงานหลักของรัฐบาลสหรัฐอเมริกาในการปกป้องโครงสร้างพื้นฐานดิจิทัล หน่วยงานนี้เผยแพร่คำแนะนำด้านความปลอดภัย กำหนดมาตรฐานสำหรับหน่วยงานของรัฐบาลกลาง และเตือนสาธารณชนเป็นประจำเกี่ยวกับการดูแลรักษาข้อมูลประจำตัว ดังนั้น เมื่อผู้รับเหมาของ CISA ทิ้งรหัสผ่านในรูปแบบ plaintext และ AWS cloud keys ที่มีสิทธิ์สูงไว้ในที่เก็บข้อมูล GitHub สาธารณะ เหตุการณ์นี้จึงกระทบต่อความน่าเชื่อถือของหน่วยงานอย่างรุนแรง บทเรียนด้านความปลอดภัยจากการรั่วไหลของข้อมูลประจำตัวของรัฐบาลครั้งนี้มีความหมายที่ขยายไปไกลกว่าแค่กรุงวอชิงตัน
สิ่งที่ผู้รับเหมาของ CISA เปิดเผยออกมาจริงๆ
เนื้อหาที่รั่วไหลออกมาไม่ใช่เรื่องเล็กน้อย รหัสผ่านแบบ plaintext คือรูปแบบดิบที่ไม่ได้เข้ารหัสของข้อมูลประจำตัวในความหมายที่เรียบง่ายที่สุด ใครก็ตามที่พบรหัสผ่านแบบ plaintext สามารถนำไปใช้ได้ทันทีโดยไม่ต้องมีทักษะทางเทคนิคใดๆ ไม่มีการ hashing ที่ต้องถอดรหัส ไม่มีการเข้ารหัสที่ต้องแปลงกลับ
สิ่งที่น่าตกใจยิ่งกว่าคือ AWS cloud keys ที่ถูกเปิดเผย คีย์การเข้าถึง Amazon Web Services (AWS) ทำหน้าที่เป็นตัวระบุหลักสำหรับสภาพแวดล้อมคลาวด์ โดยเฉพาะคีย์ที่มีสิทธิ์สูงสามารถมอบความสามารถในการอ่านข้อมูล สร้างหรือลบเซิร์ฟเวอร์ แก้ไขการกำหนดค่า และอาจเจาะเข้าสู่ระบบที่เชื่อมต่อกันได้ลึกยิ่งขึ้น บนบัญชี GovCloud ซึ่งเป็นสิ่งที่สมาชิกสภาคองเกรสฝ่ายเดโมแครตอ้างถึงในการเรียกร้องคำตอบ ความเสี่ยงสูงกว่าบัญชีนักพัฒนาส่วนตัวอย่างมีนัยสำคัญ
ความจริงที่ว่าทั้งหมดนี้ลงเอยในที่เก็บข้อมูล GitHub สาธารณะหมายความว่า อย่างน้อยในช่วงเวลาหนึ่ง ใครก็สามารถค้นพบได้ บอตอัตโนมัติสแกน GitHub เพื่อหาข้อมูลประเภทนี้เป็นประจำ มักจะเกิดขึ้นภายในไม่กี่นาทีหลังจากที่ไฟล์ถูกอัปโหลด ช่วงเวลาที่ถูกเปิดเผยอาจสั้นมาก แต่ความเสี่ยงเป็นเรื่องจริงและร้ายแรง
เหตุใดหน่วยงานรัฐบาลจึงล้มเหลวซ้ำๆ ในเรื่องพื้นฐาน
เหตุการณ์นี้ไม่ใช่กรณีเดี่ยว หน่วยงานรัฐบาลและผู้รับเหมามีรูปแบบที่บันทึกไว้เป็นอย่างดีในการสะดุดกับแนวปฏิบัติด้านความปลอดภัยพื้นฐาน แม้แต่ขณะที่พวกเขากำลังเขียนกฎเกณฑ์ที่คนอื่นต้องปฏิบัติตาม การแฮ็กบัญชีอีเมลส่วนตัวของผู้อำนวยการ FBI แสดงให้เห็นถึงพลวัตที่คล้ายกัน นั่นคือบุคคลและสถาบันที่ถูกวางตำแหน่งเป็นผู้มีอำนาจด้านความปลอดภัยก็ไม่ได้รับการยกเว้นจากความผิดพลาดพื้นฐานที่สุด
ปัจจัยเชิงโครงสร้างหลายประการมีส่วนทำให้เกิดรูปแบบนี้ ผู้รับเหมาทำงานอยู่ที่ขอบของการดูแลหน่วยงานและอาจไม่ได้รับการฝึกอบรมด้านความปลอดภัยเช่นเดียวกับพนักงานประจำ กระบวนการทำงานของนักพัฒนา โดยเฉพาะเมื่อต้องดำเนินงานอย่างรวดเร็ว สร้างแรงกดดันให้ลัดขั้นตอน และการฝังข้อมูลประจำตัวไว้ในโค้ดหรือการ commit ไฟล์ secrets ไปยัง repo สาธารณะโดยไม่ตั้งใจ เป็นข้อผิดพลาดที่พบได้บ่อยอย่างน่าตกใจในทุกภาคส่วน
องค์กรขนาดใหญ่ยังประสบปัญหา secret sprawl ด้วย นั่นคือระบบหลายสิบระบบ ข้อมูลประจำตัวหลายสิบชุด และไม่มีจุดรับผิดชอบเดียวในการตรวจสอบให้แน่ใจว่าแต่ละชุดถูกจัดเก็บ หมุนเวียน และเพิกถอนอย่างถูกต้อง เมื่อองค์กรนั้นเป็นผู้รับเหมาของรัฐบาล ปัญหานี้จะขยายออกไปทั่วหน่วยงาน สัญญา และผู้รับเหมาช่วง ทวีพื้นที่สำหรับความผิดพลาดประเภทนี้
สิ่งที่หมายความสำหรับผู้ใช้ทั่วไปที่ไว้วางใจสถาบัน
บทเรียนที่ไม่สบายใจจากเหตุการณ์นี้ชัดเจน นั่นคือ ไม่มีสถาบันใด ไม่ว่าจะมีอำนาจมากเพียงใด สามารถเชื่อถือได้ในฐานะที่พักพิงที่ปลอดภัยสำหรับข้อมูลหรือข้อมูลประจำตัวของคุณ CISA กำหนดมาตรฐานสำหรับแนวทางความมั่นคงปลอดภัยทางไซเบอร์ของรัฐบาลกลาง หากผู้รับเหมาที่ทำงานให้กับหน่วยงานนั้นสามารถทำข้อผิดพลาดพื้นฐานเช่นนี้ได้ ก็ไม่มีเหตุผลที่จะสันนิษฐานว่าองค์กรอื่นใดที่จัดการข้อมูลของคุณจะปลอดภัยกว่า
เรื่องนี้สำคัญเพราะคนส่วนใหญ่ดำเนินชีวิตด้วยสมมติฐานโดยนัยว่าหน่วยงานรัฐบาลและบริษัทขนาดใหญ่มีการรักษาความปลอดภัยที่จัดการไว้แล้ว พวกเขาไม่คิดทบทวนเกี่ยวกับการใช้รหัสผ่านซ้ำในหลายบริการ หรือการข้ามการยืนยันตัวตนสองขั้นตอน เพราะพวกเขาไว้วางใจแพลตฟอร์มและสถาบันที่อยู่อีกฝั่ง เหตุการณ์อย่างการรั่วไหลของผู้รับเหมา CISA ควรทำลายสมมติฐานนั้น การละเมิดข้อมูลที่ส่งผลกระทบต่อหน่วยงานรัฐบาลสำคัญ กลายเป็นเรื่องปกติพอที่คำถามไม่ใช่อีกต่อไปว่าสถาบันจะล้มเหลวหรือไม่ แต่เป็นเมื่อไหร่
ท่าทางด้านความปลอดภัยส่วนบุคคลของคุณไม่สามารถพึ่งพาของพวกเขาได้
รายการตรวจสอบความปลอดภัยแบบหลายชั้น: สิ่งที่คุณควบคุมได้จริงๆ
เหตุการณ์ CISA เป็นสิ่งกระตุ้นที่มีประโยชน์ในการตรวจสอบแนวปฏิบัติด้านข้อมูลประจำตัวของคุณเอง ความปลอดภัยแบบหลายชั้นหมายความว่าจุดล้มเหลวเดียวไม่สามารถทำลายทุกสิ่งที่คุณสนใจได้ นี่คือจุดเริ่มต้น:
Password managers หากรหัสผ่านของคุณถูกเก็บไว้ในสเปรดชีต แอปโน้ต หรือในความทรงจำ รหัสผ่านเหล่านั้นอ่อนแอ ถูกใช้ซ้ำ หรือทั้งสองอย่าง ผู้จัดการรหัสผ่านสร้างและจัดเก็บรหัสผ่านที่ซับซ้อนและไม่ซ้ำกันสำหรับทุกบัญชี หากบริการหนึ่งถูกละเมิด ความเสียหายจะถูกจำกัดอยู่
การยืนยันตัวตนสองขั้นตอน (2FA) แม้ว่ารหัสผ่านจะถูกเปิดเผยในรูปแบบ plaintext ผู้โจมตีที่ไม่มีสิทธิ์เข้าถึง second factor ของคุณก็ไม่สามารถเข้าสู่ระบบได้ ใช้แอป authenticator แทน SMS ถ้าเป็นไปได้ เนื่องจาก SMS อาจถูกดักฟังผ่านการโจมตี SIM-swapping
การเข้ารหัสสำหรับข้อมูลที่ละเอียดอ่อน ไฟล์ที่มีข้อมูลประจำตัว บันทึกทางการเงิน หรือข้อมูลส่วนบุคคลควรถูกเข้ารหัสขณะพักอยู่ที่เก็บข้อมูล คลาวด์สตอเรจสะดวก แต่ความสะดวกสบายและความปลอดภัยไม่ใช่สิ่งเดียวกัน
การตรวจสอบข้อมูลประจำตัวเป็นประจำ ตรวจสอบว่าที่อยู่อีเมลหรือรหัสผ่านของคุณปรากฏในฐานข้อมูลการละเมิดที่ทราบหรือไม่ บริการอย่าง Have I Been Pwned ให้คุณค้นหาโดยไม่ต้องส่งมอบข้อมูลมากกว่าที่จำเป็น
ที่ที่ VPN เหมาะสม VPN ปกป้องข้อมูลระหว่างการส่ง โดยเฉพาะบนเครือข่ายสาธารณะหรือที่ไม่น่าเชื่อถือ โดยการเข้ารหัสการเชื่อมต่อระหว่างอุปกรณ์ของคุณกับอินเทอร์เน็ต เป็นหนึ่งในชั้นที่มีประโยชน์ในชุดความปลอดภัยที่กว้างขึ้น แม้ว่าจะไม่ได้ป้องกันการขโมยข้อมูลประจำตัว การ phishing หรือการเปิดเผยแบบที่เกิดขึ้นที่นี่ คิดว่ามันเป็นเครื่องมือหนึ่งในหลายๆ อย่าง ไม่ใช่วิธีแก้ปัญหาที่สมบูรณ์
ปกป้องตัวเอง อย่ารอให้สถาบันทำแทน
การรั่วไหลของผู้รับเหมา CISA เป็นเรื่องน่าอับอายสำหรับหน่วยงาน แต่สำหรับคนอื่นๆ ทุกคน มันเป็นการเตือนอย่างเป็นรูปธรรมว่าการดูแลรักษาข้อมูลประจำตัวเป็นความรับผิดชอบส่วนบุคคล ไม่มีนายจ้าง หน่วยงานรัฐบาล หรือแพลตฟอร์มใดที่สามารถรับประกันได้ว่าข้อมูลของคุณได้รับการจัดการอย่างถูกต้องจากฝั่งของพวกเขา สิ่งที่คุณควบคุมได้คือวิธีที่คุณจัดการข้อมูลประจำตัวของตัวเองและความเสียหายที่จุดล้มเหลวเดียวสามารถทำได้จริงๆ
ตรวจสอบรหัสผ่านของคุณในสัปดาห์นี้ เปิดใช้งาน 2FA บนทุกบัญชีที่รองรับ และนำเรื่องราวนี้ พร้อมกับการละเมิดอีเมลของผู้อำนวยการ FBI มาเป็นหลักฐานว่าการตัดสินใจด้านความปลอดภัยที่สำคัญที่สุดที่คุณทำคือสิ่งที่เกิดขึ้นบนอุปกรณ์ของคุณเอง ไม่ใช่ในคลาวด์ของคนอื่น
