"Private-CISA" repositorio "privado" de CISA en Git
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha estado dejando las claves digitales de sus propias cuentas de almacenamiento en la nube a la vista, en forma de texto sin formato, durante un período de tiempo desconocido, según un informe de Krebs on Security. El problema finalmente se solucionó durante el fin de semana, según el informe.
Según los informes, el repositorio se denominó "Private-CISA" y el contenido incluía contraseñas, claves y tokens, y las contraseñas eran texto sin formato en un archivo .CSV.
CISA dio una declaración a Krebs, diciendo lo siguiente: "Actualmente, no hay indicios de que ningún dato confidencial se haya visto comprometido como resultado de este incidente [...] Si bien exigimos a los miembros de nuestro equipo que cumplan con los más altos estándares de integridad y conciencia operativa, estamos trabajando para garantizar que se implementen salvaguardas adicionales para evitar incidentes futuros".
Desde que se creó el repositorio en noviembre del año pasado, la duración de la vulnerabilidad parece haber sido de aproximadamente seis meses, pero podría haber sido mucho más corta dependiendo de qué información se agregó y cuándo.
Ahora, para aumentar las preocupaciones de CISA, parece que, según una interpretación del informe Krebs sobre lo que había en el repositorio, un empleado individual que trabajaba para un contratista gubernamental llamado Nightwing estaba usando Github para mover material de un dispositivo de trabajo a un dispositivo doméstico, algo así como enviarse documentos por correo electrónico, pero de alguna manera incluso menos seguro que eso.
Uno de los archivos expuestos, titulado 'importantAWStokens', incluía las credenciales administrativas de tres servidores Amazon AWS GovCloud. Otro archivo expuesto en su repositorio público de GitHub 'AWS-Workspace-Firefox-Passwords.csv', enumeraba nombres de usuario y contraseñas en texto plano para docenas de sistemas internos de CISA. Según Caturegli, esos sistemas incluían uno llamado 'LZ-DSO', que parece abreviatura de 'Landing Zone DevSecOps', el entorno de desarrollo de código seguro de la agencia”.
La fuente de Kreb sobre la información que quedó abierta fue Guillaume Valadon de GitGuardian, una empresa que escanea GitHub en busca de secretos, lo que significa que su negocio está encontrando situaciones como esta. Valadon le dijo a Krebs que era "la peor filtración que he presenciado en mi carrera".
Fuente:
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!