Паролі та токени держслужбовців з кібербезпеки США пів року пролежали відкритими на GitHub
Підрядник американського державного агентства з кібербезпеки та інфраструктури (CISA) випадково тримав у вільному доступі на GitHub приватні хмарні ключі, токени, паролі, логи та інші асети державних службовців.
Витік помітив дослідник компанії, яка сканує публічні репозиторії на витоки секретів та попереджає власників. Репозиторій держагентства США мав назву Private-CISA та був створений ще у листопаді минулого року.
Усередині були хмарні ключі, токени, паролі у відкритому вигляді, логи та внутрішні файли, які описували, як CISA збирає, тестує та деплоїть програмне забезпечення. Один із файлів містив адміністративні ключі до трьох AWS GovCloud-акаунтів, а інший — plaintext-логіни та паролі до десятків внутрішніх систем агентства.
Скрін KrebsOnSecurity
Частина AWS-ключів справді працювала та давала доступ до трьох акаунтів AWS GovCloud з високими правами. Також у репозиторії були дані для доступу до внутрішнього сховища пакетів — через нього зловмисники теоретично могли б підмінити пакети та потрапити далі в процес збірки програмного забезпечення.
Репозиторій підтримував співробітник підрядника уряду США. Схоже, його використовували як робочу чернетку або як спосіб синхронізувати файли між різними комп’ютерами.
У CISA підтвердили, що знають про ситуацію та розслідують її. В агентстві кажуть, що наразі не бачать ознак компрометації чутливих даних. Цікаво, що хоча репозиторій уже прибрали з доступу, частина ключів залишалася робочою ще близько двох діб після повідомлення.
12 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарівСам механізм паролів це анахронізм, доки він використовується — доки буде таке. Переробити усе на біометрію — це величезні капіталовкладення. Але тут є сподівання на ШІ методи.
ну в біометрії свої нюанси — пароль ти можеш змінити, як і ссш ключ, а от відростити нові унікальні
вуса-лапи-хвістбіометричні маркери — нітЦе захист від методів перебору, типу райдужних таблиць. Сучасний софт використоовує Hmac256. Якщо дуже-дуже треба міняти, то алгоритим що міняє може підсолити інішиал вектором SOLT коджні два місяці вона буде мінятись і відповідно хеши від біометрії так само.
Власне в більшості сучасних сисистем вже MFO де ви вводете якраз тимчасовий код, а авторизуєтесь в аплікацію за допомогою біометрії.
Ну так а чим це погано тоді?
В додачу я б хотів державні сервіси айдентіті провайдер, так ви не помилились.
Я не хочу щоб якийсь гугл банив мої акаунти к херам собичим і не хочу потім писати в спорт лото.
Хочу регульований законом сервіс айденті провайдер де я можу авторизуватись ним де завгодно, не буду привязаний до всратого ящіку гугла де він читає всі листи і пхає рекламу, і він буде привязаний до біометрії і де можна буде ходити в офіс і давати піздюлей за те що щось не працює, коли його не можна будет просто так перереєструвати на когось іншого, наприклад як із сімками зробили — привязав до паспорту і досідос.
В ідеалі таке має бути на рівні законів як пошта наприклад, де є регуляція що не мають права читати вашу пошту...Бо зараз поштові скриньки це вже занчно більше ніж переписка якась, блокування пошти може легко вбити дрібний бізнес, вже стільки випадків було.
Але це буде дуже не скоро ну і держава звісно свої проблеми додає.
Цікаво що при цьому AWS теж сканує публічні репозиторії і у випадку попадання туди ключів моментально сповіщає власника (так так — маю досвід бо сам колись давно тупанув)
Очікую, що уряд USA імпортує потужного менеджера Федорова, щоб той розповідав: «Роль кібербезпеки трохи перебільшена, ось ми тримали у вільному доступі ключі („бо нам немає чого приховувати“, — нашепчує Трамп), й нічого не сталось», або ж: «Це був honeypot».
Та це іще не зрозуміло хто кому імопртував. Сьогодняшне керівництво сша пробиває дно упротих керманичів. Навіть деякі диктатори на фоні них виглядають більш адекватними.
В цілому за останні 4 роки я зрозумів у нас середне або навіть вище середнього керівництво, якщо брати по світу, і ні я не шучу і не дув сьогодні.
Ну як упоротих, вони лобіювали і лобіють інтереси конкретних фінасово-промислових групп в США. Так політ технологія використала для перемоги на виборах протестний електорат (інфляція споживчих товарів і цін на нерухомість і оренду житла, зниження реальних доходів населення після кризи викликаної пандемієй та лобіювання інтересів секс бізнесів типу гейбарів або операцій із кастрації і медикаментів в державних установах як то школи, так само легалізація накро виробництва і наркоторгівлі) одіозну розпіарену телебаченням і шоу про звільнення фігурою мільярдера серійного банкрута — Дональда Трампа. Як бачимо в міжнаррдній і внутрішній політиці, старій добрі : Девід Рокфеллер, Збігнев Бзежинький та Генрі Кіссінджер, усе по старому.20-ти річне відставання в цифровізації і то ще дуже далеко від реальної потреби.
Адімістрація : Рональд Рейган, Джордж Буш старший і Джордж Буш Молодший — усе як під копірку.
Щодо України там завжди була така позиція, пригадайте річ Джорджа Буша старшого в Верховній Раді 1991 року, відомій як «Котлета по київськи».
Що до адміністрації Зеленского — то у зовнішній політиці, це перша українска адміністрація яка реально має яйця і захищає певні національні інтереси на зовні які збігаються із власними. Ніяких ганебних Будапешських меморандумів не підписує, і якимось мало не чудом отримує кредити та донати.
У внутрішній — ви усе знаєте, це грандіозніший провал по дуже великий кількості тем і головна з них, це передвиборча программа про комплексній анти-корупційній протидії реформами і т.д. На ділі Міндіч, Гетьманцев колективний, ТЦК і т.д. В економіці і до війни вже був тотальний провал. Одне єдине досягнення — Дія та цифровізація запущена в 2020.
Для порівняння, в тій же федерації gosuslugi.ru запустили в 2009. USA.gov запущений в 2000 році. А піонером і безперечним лідером є Естонія, яка запустила цифровізацію в 1996 році. Тобто ми нагнали мінімум
Ну наш арьол обіцяв, що ми будемо жити як в США — ось, тримайте. Вельми іронічно
не зрозумів, ти на зарплатні на доу за коментарі чи з якихось грантів годуєшься?
XD
А він там ні до чого насправді просто озвучів те що стало мемом. Команда розробки заточена під TTM була, а не під архітекуру user expirence і якісне тестування.
Зараз в кожній тімі спеціаліст із кібр безпеки як я знаю.
А так, демократи якраз крутять тему — як бойві дії і секретну інформацію обговорювали чатах з месенджером і як туди випадково додали журналіста.