في عالم اليوم، حيث تتزايد المخاطر السيبرانية، يكشف حادث جديد عن مدى تعرض حتى الوكالات الحكومية لأخطار تسرب البيانات.
يبدو أن كل منظمة تكشف عن أسرارها على الإنترنت هذه الأيام – حتى الحكومة الأمريكية.
كشف الباحث في GitGuardian، غيوم فالادون، اليوم أنه اكتشف مستودع GitHub عام تابع لوكالة الأمن السيبراني والبنية التحتية (CISA) يحتوي على 844 ميغابايت من البيانات الحساسة، بما في ذلك كلمات مرور نصية عادية، رموز المصادقة، وأسرار أخرى. على الرغم من أنه سُمي “Private-CISA”، كان المستودع متاحًا للجمهور على الإنترنت منذ 13 نوفمبر 2025.
في منشور على المدونة، قال فالادون إنه اكتشف المستودع المكشوف في 14 مايو بعد أن قامت مراقبة GitGuardian العامة، التي تفحص باستمرار المصادر العامة مثل GitHub بحثًا عن الأسرار المسربة، بتنبيه المستودع في اليوم السابق. بعد إلقاء نظرة، شك في البداية أنه كان خدعة لأن محتويات المستودع “بدت جيدة جدًا لتكون حقيقية”.
لكن المستودع كان حقيقيًا، وكذلك الأسرار الموجودة بداخله. تعد خطأ CISA مثالًا آخر على اتجاه مؤسف – فشلت المنظمات في احتواء انتشار الأسرار وكشفت عن مجموعات بيانات حساسة على الإنترنت، حيث ينتظر المهاجمون المتحمسون لاقتناصها.
المهاجمون يحصلون على “رؤية مفصلة للبنية التحتية السحابية”
وجد فالادون أن المستودع يحتوي على أسماء دلائل وملفات مذهلة، بما في ذلك “Important AWS Tokens.txt” و”ENTRA ID – SAML Certificates/”. في الواقع، احتوى المستودع على تلك الرموز وشهادات SAML بالإضافة إلى كلمات مرور نصية عادية، مفاتيح خاصة، وأسرار أخرى، بعضها لا يزال ساري المفعول.
بالإضافة إلى ذلك، احتوى المستودع على سجلات بناء CI/CD، وثائق سير العمل للنشر، بيانات Kubernetes، سير عمل GitHub Actions، وأتمتة منظمة GitHub، ومجموعة من بيانات AWS، مثل حسابات المستخدمين، بيانات إدارة الهوية والوصول (IAM)، حسابات الخدمة، ومسارات إدارة الأسرار، من بين عناصر أخرى.
“قدمت المواد المكشوفة رؤية مفصلة للبنية التحتية السحابية، وسير العمل للنشر، وأدوات سلسلة إمداد البرمجيات، والممارسات التشغيلية الداخلية،” كتب فالادون.
تواصلت Dark Reading مع CISA للتعليق لكن الوكالة لم تستجب في وقت النشر.
من غير الواضح ما إذا كانت الأسرار قد تم الوصول إليها في الأشهر الستة التي كان فيها المستودع على الإنترنت. أظهرت الدراسات أن المهاجمين يراقبون الأصول السحابية مثل مستودعات GitHub بحثًا عن الأسرار المكشوفة ويمكنهم الانقضاض على التسريبات في غضون دقائق من ظهور البيانات على الإنترنت.
يخبر فالادون Dark Reading أن “إجابة موثوقة ستتطلب تعاون GitHub”، لأن وجهات النظر الخارجية للمستودعات محدودة.
“ما يمكننا رؤيته من الخارج هو أن المستودع لم يتم نسخه أبدًا، بناءً على أحداث GitHub العامة. هذه إشارة ضعيفة ولكن حقيقية على أنه لم ينتشر على نطاق واسع،” يقول. “لا يمكننا ملاحظة النسخ من الخارج، لذا لا يمكننا استبعاد أن فردًا ما قام بتنزيل نسخة، لكن هذا استنتاج، وليس تأكيدًا.”
الممارسات عالية المخاطر لـ CISA أدت إلى الكشف
الخبر السار هو أنه بعد تنبيه CISA، قامت الوكالة بإزالة المستودع في غضون 24 ساعة، على الرغم من أن فالادون أشار إلى أنه استغرق بعض المساعدة من الصحفي الأمني، براين كريبس، الذي اتصل بجهات الاتصال الخاصة به في الوكالة ورفع القضية.
“يستحق CISA الفضل في التحرك بسرعة – معظم إعلاناتنا تستغرق وقتًا أطول بكثير، وبعضها لا يتم إصلاحه أبدًا،” كتب فالادون.
الخبر السيء هو أن موظفي CISA كانوا يشاركون في سلوكيات عالية المخاطر. “كان المستودع عبارة عن كتالوج للممارسات غير الآمنة: كلمات مرور نصية عادية، نسخ احتياطية تم الالتزام بها في Git، وتعليمات صريحة لتعطيل فحص الأسرار في GitHub،” كتب.
يخبر فالادون Dark Reading أنه بناءً على تحليل المستودع، فإن التفسير الأكثر احتمالًا هو أنه نظرًا لأن بعض الالتزامات تحتوي على أسرار مشفرة، كانت ميزة حماية الدفع في GitHub تمنع الدفع. “بدلاً من إزالة الأسرار، قام شخص ما بتوثيق كيفية تعطيل السيطرة حتى تمر الالتزامات،” يقول.
يضيف فالادون أن هذه ممارسة سيئة تتجنبها المنظمات الناضجة. بدلاً من ذلك، يعاملون مثل هذه الميزات الأمنية مثل فحص الأسرار في GitHub أو خدمة حماية الدفع من GitGuardian كـ “تحكم غير قابل للتفاوض”.
“النمط الذي نراه هو أن المطورين الفرديين يقومون بإيقافها تحت ضغط المواعيد النهائية عندما يفشل الدفع. الاستجابة الصحيحة هي إزالة السر من الالتزام، وليس الكاشف،” يقول.
يتبع المستودع المكشوف تخفيضات ضخمة في ميزانية CISA وقوة العمل تحت إدارة ترامب الثانية. اعتبارًا من العام الماضي، فقدت الوكالة حوالي ثلث موظفيها، بينما سيقترح اقتراح ميزانية البيت الأبيض لعام 2027 تخفيض تمويل CISA بأكثر من 700 مليون دولار.
تسلط هذه الحادثة الضوء على أهمية تعزيز الممارسات الأمنية في المؤسسات الحكومية والخاصة لحماية المعلومات الحساسة من التسريبات.
