‘O pior vazamento que testemunhei’: Agência de segurança cibernética dos EUA deixa suas chaves digitais em público no GitHub

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) tem deixado as chaves digitais para suas próprias contas de armazenamento em nuvem abertas, em formato de texto simples, por um período de tempo desconhecido, de acordo com um relatório de Krebs sobre Segurança. O problema finalmente foi resolvido no fim de semana, diz o relatório.

Certamente a informação secreta foi enterrada em alguma pasta obscura com um nome inescrutáveleu ouço você dizendo. O repositório foi supostamente denominado “Non-public-CISA”.

Mas não há como o conteúdo ser tão sensível, você se opõe. Mas o conteúdo incluía senhas, chaves e tokens – e as senhas eram texto simples em um arquivo .CSV.

A CISA deu uma declaração a Krebs, dizendo o seguinte:

“Atualmente, não há indicação de que quaisquer dados confidenciais tenham sido comprometidos como resultado deste incidente.[…] Embora exijamos aos membros da nossa equipe os mais altos padrões de integridade e consciência operacional, estamos trabalhando para garantir que proteções adicionais sejam implementadas para evitar ocorrências futuras.”

Desde que o repositório foi criado em novembro do ano passado, a duração da vulnerabilidade parece ter sido de cerca de seis meses – mas poderia ter sido muito mais curta dependendo de quais informações foram adicionadas e quando.

Para refrescar a sua memória, a CISA é um ramo relativamente novo do Departamento de Segurança Interna que teve um período geral difícil durante Trump 2.0embora, ao sancioná-lo como lei em 2018, Trump tenha realmente criado a CISA como parteira durante a Administração 1.0, e desculpe pela tangente, mas a decisão de Trump discurso para marcar a ocasião foi um exemplo excepcional da poesia de Trump, incluindo trechos como este:

“O espaço de batalha cibernético evolui – e está evoluindo e, infelizmente, mais rápido do que muitas pessoas querem falar. Mas é um espaço de batalha. Assim, à medida que o espaço de batalha cibernético evolui, esta nova agência garantirá que enfrentemos toda a gama de ameaças de estados-nação, criminosos cibernéticos e outros atores maliciosos, dos quais existem muitos.”

Incontestavelmente verdade, Senhor Presidente. É o espaço de batalha.

De qualquer forma, Trump estava enfurecido com as informações fornecidas pela liderança da CISA durante o período entre as eleições de 2020 e 6 de janeiro de 2021, quando estava em missão para que os resultados eleitorais fossem anulados a seu favor. Ele demitiu o diretor da CISA que ele nomeoue desde que assumiu novamente o cargo, a sua CISA tem sido uma farsa caótica. Nenhum dos diretores interinos que ele nomeou até agora foram confirmados pelo Senado, e Trump procurou recentemente cortar drasticamente o financiamento da CISA.

Agora, para aumentar as preocupações da CISA, parece que, de acordo com uma interpretação do relatório Krebs sobre o que estava no repositório, um funcionário particular person que trabalhava para um empreiteiro do governo chamado Nightwing estava usando o Github para mover materials de um dispositivo de trabalho para um dispositivo doméstico – mais ou menos como enviar documentos por e-mail para si mesmo, mas de alguma forma ainda menos seguro do que isso.

Não sou especialista em segurança cibernética federal, mas isso de Krebs parece algo que nós, como cidadãos, não queremos que nosso governo vaze:

“Um dos arquivos expostos, intitulado ‘importantAWStokens’, incluía as credenciais administrativas de três servidores Amazon AWS GovCloud. Outro arquivo exposto em seu repositório público do GitHub — ‘AWS-Workspace-Firefox-Passwords.csv’ — listava nomes de usuários e senhas em texto simples para dezenas de sistemas CISA internos. De acordo com Caturegli, esses sistemas[s] incluiu um chamado ‘LZ-DSO’, que parece abreviação de ‘Touchdown Zone DevSecOps’, o ambiente de desenvolvimento de código seguro da agência.”