Nhà Thầu CISA Làm Lộ Khóa AWS và Mật Khẩu Trên GitHub Công Khai

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng, thường được gọi là CISA, là cơ quan chính phủ Hoa Kỳ có thẩm quyền hàng đầu trong việc bảo vệ cơ sở hạ tầng kỹ thuật số. Cơ quan này công bố các khuyến cáo bảo mật, đặt ra tiêu chuẩn cho các cơ quan liên bang và thường xuyên cảnh báo công chúng về vấn đề vệ sinh thông tin xác thực. Vì vậy, khi một nhà thầu của CISA để lộ mật khẩu dạng văn bản thuần và các khóa đám mây AWS có đặc quyền cao trong một kho lưu trữ GitHub công khai, sự việc này đã giáng một đòn nặng nề vào uy tín của cơ quan. Bài học bảo mật về việc rò rỉ thông tin xác thực của chính phủ này vươn xa hơn nhiều so với phạm vi Washington.

Nhà Thầu CISA Đã Thực Sự Để Lộ Những Gì

Tài liệu bị rò rỉ không phải là thứ nhỏ nhặt. Mật khẩu dạng văn bản thuần, theo nghĩa đơn giản nhất, là dạng thô, chưa được mã hóa của một thông tin xác thực. Bất kỳ ai tình cờ tìm thấy mật khẩu dạng văn bản thuần đều có thể sử dụng ngay lập tức mà không cần bất kỳ kỹ năng kỹ thuật nào. Không có hàm băm nào cần phá, không có mã hóa nào cần giải.

Đáng báo động hơn là các khóa đám mây AWS bị lộ. Các khóa truy cập Amazon Web Services (AWS) hoạt động như định danh chính cho các môi trường đám mây. Cụ thể, các khóa có đặc quyền cao có thể cho phép bất kỳ ai sở hữu chúng đọc dữ liệu, khởi tạo hoặc phá hủy máy chủ, chỉnh sửa cấu hình, và có khả năng xâm nhập sâu hơn vào các hệ thống được kết nối. Trên một tài khoản GovCloud — điều mà các đảng viên Dân chủ tại Quốc hội đã chỉ ra trong các yêu cầu giải trình của họ — rủi ro cao hơn đáng kể so với một tài khoản nhà phát triển cá nhân.

Thực tế là tất cả những điều này đều nằm trong một kho lưu trữ GitHub công khai, nghĩa là chúng có thể bị phát hiện bởi bất kỳ ai trong ít nhất một khoảng thời gian nhất định. Các bot tự động thường xuyên quét GitHub để tìm chính xác loại tài liệu này, thường trong vòng vài phút sau khi một tệp được đẩy lên. Khoảng thời gian bị lộ có thể ngắn, nhưng rủi ro là có thật và nghiêm trọng.

Tại Sao Các Cơ Quan Chính Phủ Liên Tục Thất Bại Ở Những Điều Cơ Bản

Sự cố này không phải là trường hợp cá biệt. Các cơ quan chính phủ và nhà thầu của họ có một lịch sử được ghi nhận rõ ràng về việc vấp ngã trên những thực hành bảo mật nền tảng, ngay cả khi họ là người soạn thảo các quy tắc mà mọi người khác phải tuân theo. Vụ hack tài khoản email cá nhân của Giám đốc FBI đã minh họa một động thái tương tự: những người và tổ chức được định vị là cơ quan bảo mật không miễn nhiễm với những thất bại sơ đẳng nhất.

Một số yếu tố cơ cấu góp phần vào mô thức này. Các nhà thầu hoạt động ở vùng ngoại vi của sự giám sát của cơ quan và có thể không nhận được đào tạo bảo mật giống như nhân viên chính thức. Quy trình làm việc của nhà phát triển, đặc biệt khi đang chạy nhanh trên một dự án, tạo áp lực phải đi tắt, và việc mã hóa cứng thông tin xác thực vào mã nguồn hoặc vô tình commit một tệp bí mật lên repo công khai là lỗi nhà phát triển cực kỳ phổ biến ở mọi lĩnh vực.

Các tổ chức lớn cũng vật lộn với tình trạng bí mật lan tràn: hàng chục hệ thống, hàng chục thông tin xác thực và không có một điểm chịu trách nhiệm duy nhất để đảm bảo mỗi thứ được lưu trữ, luân chuyển và thu hồi đúng cách. Khi tổ chức đó là nhà thầu chính phủ, sự lan tràn mở rộng qua các cơ quan, hợp đồng và nhà thầu phụ, nhân lên diện tích bề mặt cho chính xác loại sai lầm này.

Điều Này Có Ý Nghĩa Gì Với Người Dùng Bình Thường Tin Tưởng Vào Các Tổ Chức

Bài học khó chịu ở đây rất rõ ràng: không có tổ chức nào, dù có thẩm quyền đến đâu, có thể được tin tưởng như một nơi an toàn cho dữ liệu hay thông tin xác thực của bạn. CISA đặt ra tiêu chuẩn cho hướng dẫn an ninh mạng liên bang. Nếu một nhà thầu làm việc cho cơ quan đó có thể mắc phải một lỗi cơ bản như vậy, thì không có lý do gì để cho rằng bất kỳ tổ chức nào khác đang xử lý thông tin của bạn lại miễn nhiễm.

Điều này quan trọng vì hầu hết mọi người hoạt động dựa trên giả định ngầm rằng các cơ quan chính phủ và các công ty lớn đã xử lý bảo mật xong xuôi. Họ không nghĩ hai lần về việc tái sử dụng mật khẩu trên nhiều dịch vụ, hay bỏ qua xác thực hai yếu tố, vì họ tin tưởng vào các nền tảng và tổ chức ở đầu kia. Những sự kiện như vụ rò rỉ của nhà thầu CISA này nên làm lung lay giả định đó. Các vụ vi phạm ảnh hưởng đến các cơ quan chính phủ lớn đã trở nên đủ thường xuyên đến mức câu hỏi không còn là liệu các tổ chức có thất bại hay không, mà là khi nào.

Tư thế bảo mật cá nhân của bạn không thể phụ thuộc vào tư thế của họ.

Danh Sách Kiểm Tra Bảo Mật Nhiều Lớp: Những Gì Bạn Thực Sự Có Thể Kiểm Soát

Sự cố CISA là một lời nhắc nhở hữu ích để kiểm tra lại các thực hành thông tin xác thực của riêng bạn. Bảo mật nhiều lớp có nghĩa là không có một điểm thất bại đơn lẻ nào có thể làm tổn hại mọi thứ bạn quan tâm. Đây là nơi để bắt đầu:

Trình quản lý mật khẩu. Nếu mật khẩu của bạn được lưu trữ trong một bảng tính, ứng dụng ghi chú hoặc trong trí nhớ của bạn, thì chúng hoặc là yếu, hoặc là bị tái sử dụng, hoặc cả hai. Trình quản lý mật khẩu tạo và lưu trữ các mật khẩu phức tạp, độc đáo cho mọi tài khoản. Nếu một dịch vụ bị vi phạm, thiệt hại sẽ được kiểm soát.

Xác thực hai yếu tố (2FA). Ngay cả khi mật khẩu bị lộ dưới dạng văn bản thuần, kẻ tấn công không có quyền truy cập vào yếu tố thứ hai của bạn sẽ không thể đăng nhập. Hãy sử dụng ứng dụng xác thực thay vì SMS khi có thể, vì SMS có thể bị chặn thông qua các cuộc tấn công hoán đổi SIM.

Mã hóa cho dữ liệu nhạy cảm. Các tệp chứa thông tin xác thực, hồ sơ tài chính hoặc thông tin cá nhân nên được mã hóa khi lưu trữ. Lưu trữ đám mây rất tiện lợi, nhưng tiện lợi và bảo mật không phải là cùng một thứ.

Kiểm tra thông tin xác thực định kỳ. Kiểm tra xem địa chỉ email hoặc mật khẩu của bạn có xuất hiện trong các cơ sở dữ liệu vi phạm đã biết hay không. Các dịch vụ như Have I Been Pwned cho phép bạn tìm kiếm mà không yêu cầu bạn cung cấp nhiều dữ liệu hơn mức cần thiết.

Vị trí của VPN trong bức tranh tổng thể. VPN bảo vệ dữ liệu khi truyền tải, đặc biệt trên các mạng công cộng hoặc không đáng tin cậy, bằng cách mã hóa kết nối giữa thiết bị của bạn và internet. Đây là một lớp hữu ích trong một bộ bảo mật rộng hơn, mặc dù nó không bảo vệ chống lại việc đánh cắp thông tin xác thực, lừa đảo phishing hoặc loại lộ lọt xảy ra ở đây. Hãy coi nó như một công cụ trong số nhiều công cụ, không phải là giải pháp toàn diện.

Tự Bảo Vệ Bản Thân, Đừng Chờ Đợi Các Tổ Chức Làm Điều Đó

Vụ rò rỉ của nhà thầu CISA gây xấu hổ cho cơ quan, nhưng với mọi người khác, đây là lời nhắc nhở cụ thể rằng vệ sinh thông tin xác thực là trách nhiệm cá nhân. Không có người sử dụng lao động, cơ quan chính phủ hay nền tảng nào có thể đảm bảo rằng dữ liệu của bạn được xử lý đúng cách ở phía họ. Những gì bạn có thể kiểm soát là cách bạn quản lý thông tin xác thực của chính mình và mức thiệt hại thực sự mà một điểm thất bại duy nhất có thể gây ra.

Hãy kiểm tra mật khẩu của bạn trong tuần này. Bật 2FA trên mọi tài khoản hỗ trợ nó. Và hãy xem câu chuyện này, cùng với vụ vi phạm email của Giám đốc FBI, như bằng chứng rằng những quyết định bảo mật quan trọng nhất bạn đưa ra là những quyết định xảy ra trên thiết bị của chính bạn, không phải trên đám mây của người khác.