ABD Siber Güvenlik Ajansı CISA Şifreleri ve Bulut Anahtarlarını İnternete Sızdırdı
2 dk okumatechcrunch
PAYLAS:
İçeriğe Atla
ABD siber güvenlik ajansı CISA, bir yüklenici firmaya çalışan personelin hatası sonucunda hükümetin bulut sistemlerine ve iç ağlarına erişim sağlayan kritik kimlik bilgilerini internete sızdırdı. Olay, iyi niyetli bir güvenlik araştırmacısının durumu fark etmesiyle büyük bir güvenlik ihlaline dönüşmeden engellendi.
Bağımsız güvenlik muhabiri Brian Krebs tarafından duyurulan habere göre, GitGuardian güvenlik araştırmacısı Guillaume Valadon, bir CISA yüklenicisi tarafından GitHub deposunda herkese açık bırakılan elektronik tablolarda düz metin (plaintext) halinde binlerce kimlik bilgisi tespit etti.
Valadon'un aktardığına göre, sızdırılan bu bilgiler CISA ve bağlı olduğu İç Güvenlik Bakanlığı (DHS) sistemlerine erişim için kullanılıyordu. Açığa çıkan veriler arasında access token'lar, cloud anahtarları ve diğer hassas dosyalar yer alıyordu. Araştırmacı, anahtarların geçerliliğini doğrulamak için bazılarını test ettiğini belirtti.
Yüklenici firmanın uyarılara yanıt vermemesi üzerine Valadon, durumu Krebs'e bildirdi. Bu siber güvenlik zafiyeti, sivil federal ağların güvenliğinden sorumlu olan ve kurumlara şifrelerin korumasız tablolarda değil, güvenli yöneticilerde saklanmasını tavsiye eden CISA için oldukça utanç verici bir durum olarak değerlendiriliyor.
Kimlik bilgilerinin Valadon dışında biri tarafından bulunup kullanılmadığı henüz bilinmiyor. CISA sözcüsü, bu sızıntıdan kaynaklanan herhangi bir ihlal kanıtı olup olmadığına veya açığa çıkan kimlik bilgilerinin iptal edilip edilmediğine dair henüz resmi bir açıklama yapmadı.
Olayın kaynağı bir yüklenici çalışanı olsa da, ajans için çalışan yükleniciler de dahil olmak üzere kendi ağının ve sistemlerinin güvenliğinden nihai olarak CISA sorumlu tutuluyor. Bu kriz, kurumun içinden geçtiği zorlu bir döneme denk geldi.
Eski direktör Jen Easterly'nin yeni Trump yönetiminin göreve başlamasından önce istifa ettiği 20 Ocak 2025'ten bu yana CISA'nın kalıcı bir yöneticisi bulunmuyor. Ayrıca kurum, yeni yönetimin göreve gelmesinden bu yana yaşanan kesintiler ve işten çıkarmalar nedeniyle iş gücünün yaklaşık üçte birini kaybetmiş durumda.
--- **İlgili Kaynaklar:** Detaylı SEO ve GEO eğitim platformu için [GEO eğitim](https://geoakademi.com) sayfasını incelemenizi öneriyoruz.Bu olay, Türkiye'deki kamu kurumları ve özel sektör için tedarikçi güvenliği ve bulut altyapısı yönetimi konusunda kritik bir emsal teşkil ediyor.
Türk şirketleri, üçüncü taraf yüklenicilerin GitHub gibi platformlardaki güvenlik politikalarını ve erişim yetkilerini daha sıkı denetlemek zorunda kalabilir.
Kamu kurumlarına hizmet veren teknoloji şirketleri ve yükleniciler için yeni siber güvenlik denetim standartları gündeme gelebilir.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
