การรั่วไหลบน GitHub ของผู้รับเหมา CISA อย่าง Nightwing เปิดเผยคีย์ AWS GovCloud
พื้นที่เก็บข้อมูล GitHub ที่เข้าถึงได้สาธารณะซึ่งเชื่อมโยงกับผู้รับเหมาภาครัฐ Nightwing ได้เปิดเผยข้อมูลประจำตัวการยืนยันตัวตนที่ละเอียดอ่อนและคีย์การเข้าถึงคลาวด์ที่เชื่อมต่อกับระบบที่ใช้โดยหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และกระทรวงความมั่นคงแห่งมาตุภูมิ การรั่วไหลของข้อมูลประจำตัวผู้รับเหมา CISA บน GitHub ได้จุดชนวนให้สมาชิกสภานิติบัญญัติเรียกร้องอย่างเร่งด่วน โดยกดดันให้ CISA จัดการบรีฟฟิ่งอย่างละเอียดเกี่ยวกับขอบเขตของการเปิดเผยข้อมูลและขั้นตอนการแก้ไขที่กำลังดำเนินการอยู่
เหตุการณ์นี้เป็นการเตือนใจอย่างตรงไปตรงมาว่าแม้แต่หน่วยงานที่รับผิดชอบในการกำหนดมาตรฐานความมั่นคงปลอดภัยทางไซเบอร์ของรัฐบาลกลาง ก็ยังเสี่ยงต่อความผิดพลาดพื้นฐานเดียวกันที่เกิดขึ้นกับองค์กรทุกขนาด
สิ่งที่ถูกเปิดเผยในพื้นที่เก็บข้อมูล GitHub ของ Nightwing
พื้นที่เก็บข้อมูลที่เป็นศูนย์กลางของเหตุการณ์นี้มองเห็นได้สาธารณะบน GitHub และมีสิ่งที่นักวิจัยอธิบายว่าเป็นข้อมูลประจำตัวที่มีสิทธิ์พิเศษ รวมถึงโทเค็นการยืนยันตัวตนและคีย์การเข้าถึงคลาวด์ที่ผูกกับสภาพแวดล้อม AWS GovCloud ที่ใช้โดย CISA และ DHS AWS GovCloud คือสภาพแวดล้อมคลาวด์แบบจำกัดที่สร้างขึ้นเฉพาะสำหรับงานของรัฐบาลสหรัฐฯ ที่มีความละเอียดอ่อน ทำให้การเปิดเผยครั้งนี้มีนัยสำคัญเป็นพิเศษ
มีรายงานว่าพื้นที่เก็บข้อมูลดังกล่าวได้รับการตั้งชื่อในลักษณะที่บ่งบอกว่าควรเป็นแบบส่วนตัว ซึ่งชี้ให้เห็นถึงการกำหนดค่าที่ผิดพลาดอย่างตรงไปตรงมาแต่มีผลร้ายแรง นักวิจัยที่รายงานปัญหานี้สามารถระบุข้อมูลประจำตัวได้ก่อนที่พื้นที่เก็บข้อมูลจะถูกลบออก แต่ช่วงเวลาที่ถูกเปิดเผยดูเหมือนจะนานพอที่จะก่อให้เกิดคำถามสำคัญเกี่ยวกับความรวดเร็วในการตรวจพบการรั่วไหลดังกล่าวภายในองค์กร
สมาชิกสภานิติบัญญัติไม่รีรอที่จะตอบสนอง สมาชิกอาวุโสของรัฐสภากำลังขอรับการบรีฟฟิ่งโดยตรงจาก CISA เพื่อทำความเข้าใจว่าระบบใดอาจถูกเข้าถึง มีการใช้ประโยชน์จากข้อมูลประจำตัวใดหรือไม่ และเหตุใดการรั่วไหลจึงไม่ถูกตรวจพบโดยหน่วยงานหรือผู้รับเหมาเร็วกว่านี้
เหตุใดการรั่วไหลของข้อมูลประจำตัวการยืนยันตัวตนจึงอันตรายเป็นพิเศษ
การรั่วไหลของข้อมูลไม่ได้มีความเสี่ยงในระดับเดียวกันทั้งหมด การเปิดเผยชื่อและที่อยู่อีเมลเป็นสิ่งที่เป็นอันตราย แต่การเปิดเผยข้อมูลประจำตัวการยืนยันตัวตนที่ยังใช้งานอยู่และคีย์การเข้าถึงคลาวด์นั้นอยู่ในประเภทของภัยคุกคามที่แตกต่างออกไปโดยสิ้นเชิง
เมื่อ API keys, access tokens หรือข้อมูลประจำตัวคลาวด์ถูกเผยแพร่ในพื้นที่เก็บข้อมูลสาธารณะ ใครก็ตามที่พบสิ่งเหล่านี้อาจสามารถใช้งานได้ทันที ต่างจากการรั่วไหลของรหัสผ่านที่ต้องถอดรหัสแบบ hash ก่อนจึงจะเป็นประโยชน์ API key หรือ access token ที่ยังใช้งานอยู่นั้นพร้อมใช้งานได้ทันทีที่ถูกค้นพบ ผู้โจมตีสามารถยืนยันตัวตนเข้าสู่สภาพแวดล้อมคลาวด์โดยตรง ตรวจสอบรายการทรัพยากร เพิ่มสิทธิ์การเข้าถึง ขโมยข้อมูล หรือรบกวนบริการ ทั้งหมดนี้โดยไม่ต้องกระตุ้นประเภทการแจ้งเตือนที่ความพยายามบุกรุกแบบดั้งเดิมอาจก่อให้เกิดขึ้น
ในบริบทของภาครัฐ ความเสี่ยงยิ่งทวีคูณด้วยความละเอียดอ่อนของระบบที่เกี่ยวข้อง อินสแตนซ์ AWS GovCloud มักเก็บข้อมูลที่ไม่เป็นความลับแต่ถูกควบคุม และการเข้าถึงสภาพแวดล้อมเหล่านั้นอาจมอบแผนโครงสร้างพื้นฐานของรัฐบาลกลางอย่างละเอียดให้กับฝ่ายตรงข้าม แม้ว่าจะไม่มีการแสวงหาประโยชน์ทันที แต่คุณค่าทางข่าวกรองในการทำความเข้าใจว่าระบบของ CISA มีโครงสร้างและการยืนยันตัวตนอย่างไรนั้นมีนัยสำคัญมาก
ความล้มเหลวของผู้รับเหมาภาครัฐสะท้อนความผิดพลาดด้านความมั่นคงปลอดภัยในชีวิตประจำวันอย่างไร
สิ่งที่ทำให้เหตุการณ์นี้มีประโยชน์ทางการเรียนรู้นอกเหนือจากผลกระทบทางการเมืองในทันทีคือความธรรมดาของความผิดพลาดพื้นฐาน การ commit ข้อมูลประจำตัวโดยไม่ตั้งใจไปยังพื้นที่เก็บข้อมูลสาธารณะถูกจัดอยู่ในรายการข้อผิดพลาดด้านความมั่นคงปลอดภัยของนักพัฒนาที่พบบ่อยที่สุดอย่างสม่ำเสมอ เหตุการณ์นี้เกิดขึ้นในสตาร์ทอัพ องค์กรขนาดใหญ่ โปรเจกต์โอเพนซอร์ส และเห็นได้ชัดว่าในระบบนิเวศผู้รับเหมาที่สนับสนุนหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ชั้นนำของประเทศด้วย
รูปแบบของการจัดการข้อมูลสถาบันที่ผิดพลาดซึ่งนำไปสู่การตรวจสอบของรัฐสภากำลังกลายเป็นเรื่องคุ้นเคย เมื่อไม่นานมานี้ การละเมิดของ ShinyHunters ต่อ Canvas ก็เดินตามเส้นทางที่คล้ายกัน: ผู้รับเหมาหรือผู้ขายล้มเหลวในการปกป้องข้อมูลที่ละเอียดอ่อน การเปิดเผยกลายเป็นสาธารณะ และผู้บัญญัติกฎหมายเรียกร้องความรับผิดชอบ รายละเอียดแตกต่างกัน แต่ความล้มเหลวเชิงโครงสร้างเหมือนกัน องค์กรมอบความไว้วางใจข้อมูลประจำตัวหรือข้อมูลที่ละเอียดอ่อนให้กับบุคคลที่สาม และบุคคลที่สามเหล่านั้นไม่ได้ใช้มาตรฐานเดียวกันกับที่องค์กรหลักอ้างว่าปฏิบัติตามเสมอไป
สำหรับ CISA แล้ว ภาพลักษณ์นั้นน่าอึดอัดเป็นพิเศษ หน่วยงานนี้ใช้เวลาหลายปีในการเผยแพร่คำแนะนำให้ทั้งองค์กรภาครัฐและภาคเอกชนหลีกเลี่ยงการเก็บความลับในพื้นที่เก็บโค้ด หมุนเวียนข้อมูลประจำตัวอย่างสม่ำเสมอ และใช้การสแกนอัตโนมัติสำหรับคีย์ที่เปิดเผย การที่ผู้รับเหมาทำสิ่งที่ CISA เตือนคนอื่นไม่ให้ทำนั้นบั่นทอนอำนาจของหน่วยงานในประเด็นเหล่านี้และให้กระสุนแก่นักวิจารณ์ที่โต้แย้งว่าท่าทีด้านความมั่นคงปลอดภัยทางไซเบอร์ของรัฐบาลกลางเป็นเพียงการแสดงมากกว่าการปฏิบัติจริง
วิธีป้องกันข้อมูลประจำตัวของคุณเองไม่ให้ถูกเปิดเผยทางออนไลน์
เหตุการณ์ Nightwing เป็นสัญญาณเตือนที่มีประโยชน์สำหรับทุกคนที่จัดการข้อมูลประจำตัว ซึ่งในปัจจุบันหมายถึงนักพัฒนา ผู้เชี่ยวชาญด้าน IT ทุกคน และแม้แต่ผู้ใช้ทั่วไปหลายคนที่พึ่งพาบริการคลาวด์หรือจัดการเครื่องมือของตนเอง
นี่คือขั้นตอนที่เป็นรูปธรรมเพื่อตรวจสอบและปรับปรุงสุขอนามัยข้อมูลประจำตัวของคุณ:
อย่า hardcode ข้อมูลประจำตัวในโค้ด ใช้ตัวแปรสภาพแวดล้อมหรือเครื่องมือจัดการความลับเฉพาะทางเพื่อเก็บข้อมูลประจำตัวออกจากไฟล์ต้นฉบับโดยสมบูรณ์ หากคุณใช้บริการที่มี SDK หรือ CLI ให้ตรวจสอบเอกสารสำหรับวิธีที่แนะนำในการยืนยันตัวตนโดยไม่ต้องฝังคีย์ในโค้ด
สแกนพื้นที่เก็บข้อมูลของคุณก่อน push เครื่องมือที่ออกแบบมาโดยเฉพาะเพื่อตรวจจับความลับในโค้ดสามารถทำงานเป็น pre-commit hooks โดยแจ้งเตือนการรั่วไหลที่อาจเกิดขึ้นก่อนที่จะถึงพื้นที่เก็บข้อมูลระยะไกล การสแกนพื้นที่เก็บข้อมูลที่มีอยู่ ทั้งแบบส่วนตัวและสาธารณะ ก็คุ้มค่าที่จะทำเช่นกัน
หมุนเวียนข้อมูลประจำตัวอย่างสม่ำเสมอและทันทีหลังจากสงสัยว่ามีการเปิดเผย หากมีโอกาสใดที่ข้อมูลประจำตัวถูกมองเห็น ให้ถือว่าถูกบุกรุกและหมุนเวียนโดยไม่ชักช้า ผู้ให้บริการคลาวด์หลายรายอนุญาตให้คุณออกคีย์ใหม่และเพิกถอนคีย์เก่าโดยไม่หยุดให้บริการ
ใช้ข้อมูลประจำตัวที่มีอายุสั้นหากเป็นไปได้ ข้อมูลประจำตัวชั่วคราวที่มีสิทธิ์จำกัดและหมดอายุโดยอัตโนมัติจะจำกัดช่วงเวลาความเสียหายหากถูกเปิดเผย ผู้ให้บริการคลาวด์รองรับการรวม identity federation และการเข้าถึงตามบทบาทมากขึ้นเรื่อยๆ ซึ่งช่วยขจัดความจำเป็นในการใช้คีย์แบบ static ที่มีอายุยาวนาน
ตรวจสอบการเข้าถึงของบุคคลที่สาม หากคุณใช้ผู้รับเหมา ผู้ขาย หรือการรวม open-source ให้ตรวจสอบข้อมูลประจำตัวและสิทธิ์ที่คุณให้ไว้เป็นระยะๆ เพิกถอนการเข้าถึงที่ไม่จำเป็นอีกต่อไป
สิ่งนี้หมายความว่าอะไรสำหรับคุณ
การรั่วไหลของข้อมูลประจำตัวผู้รับเหมา CISA บน GitHub ไม่ใช่แค่ปัญหาของภาครัฐ มันสะท้อนถึงจุดอ่อนเชิงระบบในวิธีที่องค์กรทุกประเภทจัดการความลับ ซึ่งส่งผลกระทบต่อทุกคนที่เก็บข้อมูลประจำตัวในโค้ด ใช้บริการคลาวด์ หรือพึ่งพาผู้รับเหมาในการจัดการระบบที่ละเอียดอ่อน
ถือเอาเหตุการณ์นี้เป็นสัญญาณให้ดำเนินการตรวจสอบของคุณเอง ตรวจสอบพื้นที่เก็บข้อมูลของคุณ ตรวจสอบรายการคีย์การเข้าถึงคลาวด์ของคุณ และตรวจสอบให้แน่ใจว่าไม่มีข้อมูลประจำตัวอยู่ในที่ที่ไม่ควรอยู่ วินัยเดียวกันที่ CISA เผยแพร่ต่อสาธารณะแต่ดูเหมือนล้มเหลวในการบังคับใช้ภายในนั้นมีให้สำหรับทุกคน และการนำไปใช้เชิงรุกมีต้นทุนน้อยกว่าการแก้ไขหลังจากการเปิดเผยมาก
หากหน่วยงานที่รับผิดชอบในการปกป้องโครงสร้างพื้นฐานสำคัญของสหรัฐฯ ยังต้องเผชิญกับความอับอายประเภทนี้ผ่านความผิดพลาดพื้นฐานของผู้รับเหมา นี่เป็นช่วงเวลาที่สมเหตุสมผลที่จะถามว่าบ้านของคุณเองอยู่ในสภาพเดียวกันหรือไม่
