La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU.
(CISA) ha estado dejando las claves digitales de sus propias cuentas de
almacenamiento en la nube a la vista, en forma de texto sin formato, durante un período de tiempo desconocido, según un
informe de Krebs on Security. El problema finalmente se solucionó durante el fin de semana, según el
informe.
Según los informes,
el repositorio se denominó «Private-CISA» y el contenido
incluía contraseñas, claves y tokens, y las contraseñas eran texto sin
formato en un archivo .CSV.
CISA dio una declaración a Krebs, diciendo lo siguiente:
«Actualmente, no hay indicios de que ningún dato confidencial se haya visto
comprometido como resultado de este incidente […] Si bien exigimos a los
miembros de nuestro equipo que cumplan con los más altos estándares de
integridad y conciencia operativa, estamos trabajando para garantizar que se
implementen salvaguardas adicionales para evitar incidentes futuros».
Desde que se creó el repositorio en noviembre del año pasado, la duración de
la vulnerabilidad parece haber sido de aproximadamente seis meses, pero podría
haber sido mucho más corta dependiendo de qué información se agregó y cuándo.
Ahora, para aumentar las preocupaciones de CISA, parece que, según una
interpretación del informe Krebs sobre lo que había en el repositorio,
un empleado individual que trabajaba para un contratista gubernamental
llamado Nightwing estaba usando Github para mover material de un dispositivo
de trabajo a un dispositivo doméstico,
algo así como enviarse documentos por correo electrónico, pero de alguna
manera incluso menos seguro que eso.
Uno de los archivos expuestos, titulado ‘importantAWStokens’, incluía
las credenciales administrativas de tres servidores Amazon AWS GovCloud. Otro
archivo expuesto en su repositorio público de GitHub
‘AWS-Workspace-Firefox-Passwords.csv’, enumeraba nombres de
usuario y contraseñas en texto plano para docenas de sistemas internos de
CISA. Según Caturegli, esos sistemas incluían uno llamado ‘LZ-DSO’, que
parece abreviatura de ‘Landing Zone DevSecOps’, el entorno de
desarrollo de código seguro de la agencia”.
La fuente de Kreb sobre la información que quedó abierta fue Guillaume Valadon
de
GitGuardian, una empresa que escanea GitHub en busca de secretos, lo que significa que
su negocio está encontrando situaciones como esta. Valadon le dijo a Krebs que
era «la peor filtración que he presenciado en mi carrera».
Fuente: