Агентство з кібербезпеки та безпеки інфраструктури США залишило ключі AWS GovCloud, токени та паролі у відкритому репозиторії GitHub

Підрядник агентства з кібербезпеки та безпеки інфраструктури США (CISA) створив репозиторій «Private-CISA», вимкнув захист Github від витоку секретів і, схоже, використовував його для синхронізації файлів між робочим і домашнім комп’ютерами.

GitGuardian виявили витік. Інший дослідник підтвердив, що частина опублікованих AWS-ключів працювала.

Навіть після того, як репозиторій видалили, ключі, які в ньому були, залишалися дійсними ще приблизно 48 годин.

Як бачите. Таке може статися з будь-ким — навіть із CISA. 😑

Інші важливі новини

→ CrowdStrike, Google та Shadowserver Foundation спільно зірвали роботу ботнету Glassworm, відрізавши його від каналів command-and-control (C2). Первинний вектор для жертв Glassworm — тут без сюрпризів: троянізовані розширення для VS Code, а також заражені пакети npm, PyPI та GitHub-репозиторії.

→ Microsoft розкритикували дослідників безпеки за відсутність «більш скоординованого процесу розкриття вразливостей» після видалення GitHub-акаунта дослідника під ніком Chaotic Eclipse. Цей дослідник публічно розкрив одразу три 0-day для Microsoft Defender: BlueHammer, RedSun і UnDefend.

Я розумію обидві сторони. Microsoft відповідали повільно; дослідник відчував, що його ігнорують.

Ми бачили це багато разів: вендору надсилають репорт про вразливість, у відповідь звучить «це by design», а далі тиша.

Але публікація експлойтів без доступних патчів шкодить значно більше, ніж допомагає. Зловмисники почали використовувати експлойти RedSun і UnDefend у реальних атаках уже за кілька годин після публічного репорту — задовго до появи патчів.

Якщо вендор вас ігнорує, можна написати публічну статтю із загальними технічними деталями (без експлойту) — або привернути увагу людей із кіберспільноти (таких, як я), щоб підсвітити важливість патча.

Ми маємо діяти краще. І, сподіваюсь, будемо.

→ Verizon оприлюднила звіт Data Breach Report 2026: у 48% інцидентів зламів фігурує компрометація third-party постачальників і сервісів; 67% співробітників використовують на роботі несанкціоновані GenAI-сервіси.

Дуже рекомендую переглянути повний репорт. Знайдете багато цікавого.

Висновки

Індустрія зараз одержима штучним інтелектом у SAST, пентестингу та SOC. І це зрозуміло. Це вже наша реальність.

Але при цьому ми досі бачимо, що ігноруються базові правила безпеки: паролі зберігаються у незашифрованому вигляді, опубліковані приватні репозиторії з cloud-ключами («випадково»), зловмисні розширення поширюються шаленими темпами, а також безвідповідальне публічне розкриття експлойтів.

Можливо, наш реальний пріоритет зараз — не «ще більше AI у безпеці», а нарешті нормально закрити базові речі?

CVE на які варто звернути увагу

• LiteSpeed cPanel Plugin, підвищення привілеїв до root (CVE-2026-48172)
• Drupal Core, SQL-інʼєкція (CVE-2026-9082)
• Cisco Secure Workload, неавторизований доступ (CVE-2026-20223)
• Microsoft Defender, низка вразливостей (CVE-2026-41091, CVE-2026-45498)
• Чергова вразливість у Linux kernel, що дає доступ до чутливих файлів (CVE-2026-46333)
• UniFi OS, критичні вразливості (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910)
• Trend Micro Apex One, вразливість вже активно експлуатується (CVE-2026-34926)
• Drupal Core, критична вразливість із PostgreSQL (CVE-2026-9082)
• PAN-OS GlobalProtect, обхід автентифікації (CVE-2026-0257)

Підписутесь на блог

Підписуйтеся на мій блог у Telegram та LinkedIn, щоб не пропускати важливі оновлення з кібербезпеки.

Коментуйте та поширюйте цей допис.

Як думаєте, можливо, пріоритет зараз — не «ще більше AI у безпеці», а навести лад із базовими речами?