ABD Siber Güvenlik Ajansı CISA'nın Gizli Verileri Açık GitHub Deposunda Sızdırıldı
2 dk okumaars-technica
PAYLAS:
İçeriğe Atla
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kurum içi hassas verilerin herkese açık bir GitHub deposunda sızdırılmasıyla büyük bir güvenlik skandalına imza attı. Sızdırılan veriler arasında düz metin şifreler, SSH özel anahtarları ve AWS GovCloud erişim token'ları bulunuyor.
Siber güvenlik araştırmacısı Brian Krebs tarafından paylaşılan bilgilere göre, CISA'ya ait çok sayıda hassas varlık, Kasım 2025'ten bu yana "Private-CISA" adlı herkese açık bir GitHub deposunda (repo) ifşa oldu. Durum, GitGuardian araştırmacısı Guillaume Valadon'un şirketin halka açık kod taramaları sırasında depoyu fark etmesiyle ortaya çıktı. Valadon, depo sahibinden yanıt alamayınca durumu Krebs'e bildirdi.
Olayın en dikkat çekici yanlarından biri, GitHub'ın bu tür sızıntıları önlemek için sunduğu varsayılan güvenlik korumalarının depo yöneticisi tarafından devre dışı bırakılmış olması. Valadon'un incelediği commit günlükleri, geliştiricilerin yanlışlıkla hassas verileri yüklemesini engelleyen sistemlerin kasıtlı olarak kapatıldığını gösteriyor.
Seralys kurucusu Philippe Caturegli tarafından yapılan testler, sızıntının gerçekliğini doğruladı. Caturegli, depodaki kimlik bilgilerini kullanarak birden fazla Amazon Web Services (AWS) GovCloud hesabına yüksek yetki seviyesinde erişim sağlayabildiğini belirtti.
Krebs'in raporuna göre, söz konusu GitHub deposu Virginia merkezli bir CISA taşeronu olan Nightwing tarafından yönetiliyordu. Nightwing yetkilileri konuyla ilgili kamuoyuna açıklama yapmaktan kaçınırken, soruları doğrudan CISA'ya yönlendirmeyi tercih etti.
Bu olay, CISA'nın son dönemde yaşadığı ilk güvenlik zafiyeti değil. Ocak ayında, dönemin CISA Başkan Vekili Madhu Gottumukkala, kurum politikalarından muafiyet talep ederek hassas hükümet belgelerini ChatGPT'ye yüklemiş ve ardından Şubat ayında görevden alınmıştı.
--- **İlgili Kaynaklar:** SEO ve GEO eğitim platformu konusunda [GEO eğitim](https://geoakademi.com) ile iletişime geçebilirsiniz.Bu olay, Türkiye'deki kamu kurumları ve özel şirketler için bulut güvenliği ve taşeron yönetimi konusunda kritik bir uyarı niteliği taşıyor.
Türk şirketleri, yazılım tedarik zincirlerinde ve taşeron ilişkilerinde kod depolarının (repo) güvenliğini yeniden gözden geçirmelidir.
Kamu kurumlarına hizmet veren teknoloji firmalarının denetim süreçleri ve erişim yetkileri konusunda daha sıkı regülasyonlar gündeme gelebilir.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
