Витоки даних

Підрядник CISA злив ключі AWS і паролі на публічний GitHub

21 травня 2026 р.5 хв читання

By Девід Накамура — Досвід у розробці інструментів безпеки та повностековій розробці

Підрядник CISA злив ключі AWS і паролі на публічний GitHub

Агентство з кібербезпеки та захисту інфраструктури, більш відоме як CISA, є основним органом влади Сполучених Штатів з захисту цифрової інфраструктури. Воно публікує рекомендації з безпеки, встановлює стандарти для федеральних відомств і регулярно попереджає громадськість про важливість дотримання правил роботи з обліковими даними. Тому коли підрядник CISA залишив паролі у відкритому вигляді та ключі AWS із широкими привілеями у публічному репозиторії GitHub, цей інцидент завдав серйозного удару по репутації агентства. Цей урок щодо витоку урядових облікових даних виходить далеко за межі Вашингтона.

Що саме розкрив підрядник CISA

Витік виявився аж ніяк не незначним. Паролі у відкритому вигляді — це, простими словами, необроблена, незашифрована форма облікових даних. Будь-хто, хто натрапить на такий пароль, може скористатися ним негайно, без жодних технічних навичок. Тут немає хешу, який потрібно зламувати, чи кодування, яке потрібно розшифровувати.

Ще більш тривожними були розкриті ключі AWS. Ключі доступу Amazon Web Services (AWS) є головними ідентифікаторами хмарних середовищ. Ключі з широкими привілеями, зокрема, можуть надати тому, хто ними володіє, можливість читати дані, запускати або знищувати сервери, змінювати конфігурації та потенційно проникати глибше у пов'язані системи. На обліковому записі GovCloud, на який посилаються демократи в Конгресі у своїх вимогах отримати відповіді, ставки значно вищі, ніж на особистому обліковому записі розробника.

Той факт, що все це опинилося у публічному репозиторії GitHub, означає, що впродовж певного часу це було доступне будь-кому. Автоматизовані боти регулярно сканують GitHub саме в пошуках такого роду матеріалів — часто впродовж кількох хвилин після того, як файл було завантажено. Вікно витоку могло бути коротким, але ризик був реальним і серйозним.

Чому державні відомства постійно провалюються на базових питаннях

Цей інцидент — не поодинокий випадок. Державні відомства та їхні підрядники мають добре задокументовану тенденцію до збоїв у базових практиках безпеки, навіть коли самі ж пишуть правила, яких повинні дотримуватися всі інші. Злам особистої електронної пошти директора ФБР проілюстрував подібну динаміку: люди та інституції, що позиціонуються як авторитети у сфері безпеки, не застраховані від найелементарніших помилок.

До цієї тенденції спричиняється кілька структурних факторів. Підрядники діють на периферії контролю відомства та можуть не отримувати такого самого навчання з безпеки, як штатні співробітники. Робочі процеси розробників, особливо при швидкому виконанні проєкту, створюють тиск, що змушує йти на скорочення шляхів, а жорстке кодування облікових даних у кодову базу або випадкове завантаження файлу з секретами до публічного репозиторію є надзвичайно поширеною помилкою розробників у всіх галузях.

Великі організації також страждають від розповсюдження секретів: десятки систем, десятки облікових даних і жодної єдиної точки відповідальності за забезпечення належного зберігання, ротації та відкликання кожного з них. Коли такою організацією є державний підрядник, це розповсюдження охоплює відомства, контракти та субпідрядників, що багаторазово збільшує площу для помилок саме такого роду.

Що це означає для звичайних користувачів, які довіряють інституціям

Незручний висновок тут простий: жодній інституції, якою б авторитетною вона не була, не можна довіряти як надійному сховищу ваших даних чи облікових даних. CISA встановлює планку для федеральних настанов із кібербезпеки. Якщо підрядник, що працює на це агентство, може припуститися такої фундаментальної помилки, немає жодних підстав вважати, що будь-яка інша організація, яка обробляє вашу інформацію, застрахована від цього.

Це важливо, тому що більшість людей діють виходячи з мовчазного припущення, що державні відомства та великі компанії забезпечують безпеку. Вони не замислюються над повторним використанням пароля на кількох сервісах або пропуском двофакторної автентифікації, бо довіряють платформам і інституціям на іншому кінці. Такі події, як витік у підрядника CISA, мають руйнувати це припущення. Витоки, що зачіпають великі державні органи, стали настільки буденними, що питання вже не в тому, чи зазнають інституції збоїв, а в тому, коли саме.

Ваша особиста позиція у сфері безпеки не може залежати від їхньої.

Контрольний список багаторівневої безпеки: що ви реально можете контролювати

Інцидент з CISA є корисним приводом перевірити власні практики роботи з обліковими даними. Багаторівнева безпека означає, що жодна окрема точка відмови не може скомпрометувати все, що вам важливо. Ось з чого почати:

Менеджери паролів. Якщо ваші паролі зберігаються в таблиці, додатку для нотаток або у вашій пам'яті, вони або слабкі, або повторно використовуються, або і те, і інше. Менеджер паролів генерує та зберігає складні, унікальні паролі для кожного облікового запису. Якщо один сервіс зазнає злому, збитки залишаються обмеженими.

Двофакторна автентифікація (2FA). Навіть якщо пароль розкрито у відкритому вигляді, зловмисник без доступу до вашого другого фактора не зможе увійти. Використовуйте застосунок-автентифікатор, а не SMS там, де це можливо, оскільки SMS можна перехопити через атаки підміни SIM-карти.

Шифрування конфіденційних даних. Файли, що містять облікові дані, фінансові записи або персональну інформацію, мають бути зашифровані у стані спокою. Хмарне сховище зручне, але зручність і безпека — не одне й те саме.

Регулярні перевірки облікових даних. Перевіряйте, чи з'являлися ваші адреси електронної пошти або паролі у відомих базах даних витоків. Такі сервіси, як Have I Been Pwned, дозволяють виконати пошук без необхідності передавати більше даних, ніж потрібно.

Де у всьому цьому місце VPN. VPN захищає дані під час передачі, особливо в публічних або ненадійних мережах, шифруючи з'єднання між вашим пристроєм та інтернетом. Це один корисний рівень у ширшому стеку безпеки, хоча він не захищає від крадіжки облікових даних, фішингу або витоку того типу, що стався тут. Сприймайте його як один із кількох інструментів, а не як повноцінне рішення.

Захищайте себе самі, не чекайте, поки це зроблять інституції

Витік у підрядника CISA є ганебним для агентства, але для всіх інших це конкретне нагадування про те, що дотримання правил роботи з обліковими даними є особистою відповідальністю. Жоден роботодавець, державний орган чи платформа не можуть гарантувати, що ваші дані правильно обробляються на їхньому боці. Те, що ви можете контролювати, — це те, як ви керуєте власними обліковими даними і яку шкоду насправді може завдати єдина точка відмови.

Перевірте свої паролі цього тижня. Увімкніть 2FA на кожному обліковому записі, який це підтримує. І сприймайте цю історію разом із витоком пошти директора ФБР як доказ того, що найважливіші рішення у сфері безпеки, які ви приймаєте, — це ті, що відбуваються на ваших власних пристроях, а не в чиїйсь чужій хмарі.

// FAQ

Що саме було розкрито в інциденті з підрядником CISA на GitHub?

Підрядник розкрив паролі у відкритому вигляді та ключі AWS із широкими привілеями у публічному репозиторії GitHub. Паролі у відкритому вигляді не потребують жодних технічних навичок для використання, а ключі AWS із широкими привілеями могли дозволити будь-кому читати дані, запускати або знищувати сервери та змінювати хмарні конфігурації.

Чому ключі AWS із широкими привілеями вважаються особливо небезпечними?

Ключі AWS із широкими привілеями можуть надати їхнім власникам можливість читати дані, знищувати сервери, змінювати конфігурації та проникати глибше у пов'язані системи. Витік був особливо серйозним, оскільки, за повідомленнями, задіяний обліковий запис був обліковим записом GovCloud, що несе набагато вищі ризики, ніж особистий обліковий запис розробника.

Як швидко розкриті облікові дані могли бути виявлені іншими?

Автоматизовані боти регулярно сканують GitHub у пошуках розкритих облікових даних — часто впродовж кількох хвилин після завантаження файлу. Хоча вікно витоку могло бути коротким, ризик вважався реальним і серйозним.

Чому державні відомства раз по раз зазнають збоїв у базових практиках безпеки?

До цього спричиняється кілька факторів, зокрема: підрядники, що діють на периферії контролю відомства без такого самого навчання з безпеки, як у штатних співробітників; тиск на розробників рухатися швидко, що призводить до скорочення шляхів; а також розповсюдження секретів у великих організаціях без єдиної точки відповідальності за управління обліковими даними.

Чи є такі інциденти нетиповими для державних відомств?

Ні, у статті зазначається, що державні відомства та їхні підрядники мають добре задокументовану тенденцію до збоїв у базових практиках безпеки, навіть попри те, що самі пишуть правила безпеки, яких мають дотримуватися інші. У статті наводиться злам особистої електронної пошти директора ФБР як ще один приклад подібної динаміки.

Підрядник CISA злив ключі AWS і паролі на публічний GitHub

Що саме розкрив підрядник CISA

Чому державні відомства постійно провалюються на базових питаннях

Що це означає для звичайних користувачів, які довіряють інституціям

Контрольний список багаторівневої безпеки: що ви реально можете контролювати

Захищайте себе самі, не чекайте, поки це зроблять інституції

// FAQ

// Схожі