Administrator CISA membocorkan kunci AWS GovCloud ke GitHub

 (krebsonsecurity.com)
1 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Repositori publik Private-CISA yang dioperasikan kontraktor CISA mengekspos akun AWS GovCloud berhak akses tinggi dan kredensial sistem internal
  • Pada akun GitHub tersebut ada jejak penonaktifan pengaturan bawaan yang mencegah publikasi rahasia, serta berisi kata sandi plaintext, token, dan log
  • File yang terekspos, importantAWStokens, berisi kredensial administrator untuk tiga server AWS GovCloud, dan file CSV berisi informasi login sistem internal
  • Seralys menilai kunci yang terekspos dapat digunakan untuk autentikasi dengan hak istimewa tinggi, dan akses ke artifactory internal meningkatkan risiko backdoor paket serta pergerakan lateral
  • Segera setelah CISA diberi tahu, akun tersebut offline, tetapi kunci AWS tetap valid selama 48 jam setelahnya, dan CISA menyatakan tidak ada indikasi kompromi

Kredensial internal CISA terekspos di repositori GitHub publik

  • Repositori GitHub publik yang dioperasikan kontraktor CISA mengekspos beberapa akun AWS GovCloud berhak akses tinggi serta kredensial sistem internal CISA
  • Nama repositori itu adalah Private-CISA, dan bahkan mencakup file-file yang berkaitan dengan cara CISA membangun, menguji, dan menerapkan perangkat lunak secara internal
  • Repositori tersebut berisi sejumlah besar kunci cloud, token, kata sandi plaintext, log, dan aset sensitif CISA lainnya
  • Guillaume Valadon dari GitGuardian menemukan repositori ini saat terus memindai repositori kode publik untuk mendeteksi rahasia yang terekspos dan mengirim pemberitahuan otomatis kepada pemilik akun
  • Valadon mengatakan pemilik repositori tidak merespons, dan karena informasi yang terekspos sangat sensitif, ia menghubungi KrebsOnSecurity

Penonaktifan deteksi rahasia GitHub dan file utama yang terekspos

  • Valadon menilai kebocoran kredensial CISA ini sebagai contoh khas higiene keamanan yang buruk
  • Log commit akun GitHub terkait menunjukkan jejak bahwa administrator CISA menonaktifkan pengaturan bawaan GitHub yang mencegah publikasi kunci SSH atau rahasia lain ke repositori kode publik
  • Valadon mengatakan ada “kata sandi yang disimpan plaintext dalam CSV, backup yang masuk ke Git, dan perintah eksplisit untuk menonaktifkan fitur deteksi rahasia GitHub”
  • File yang terekspos, importantAWStokens, berisi kredensial administrator untuk tiga server Amazon AWS GovCloud
  • File lain, AWS-Workspace-Firefox-Passwords.csv, berisi nama pengguna dan kata sandi plaintext untuk puluhan sistem internal CISA
  • Menurut Philippe Caturegli, sistem tersebut juga mencakup LZ-DSO, yang tampaknya merupakan singkatan dari “Landing Zone DevSecOps”, lingkungan pengembangan kode keamanan milik lembaga tersebut

Hak istimewa tinggi dan risiko akses ke sistem internal

  • Philippe Caturegli, pendiri perusahaan konsultan keamanan Seralys, mengatakan ia hanya memeriksa apakah kunci AWS yang terekspos masih valid dan sistem internal apa saja yang dapat diakses akun yang terekspos itu
  • Caturegli memverifikasi bahwa kredensial yang terekspos dapat digunakan untuk autentikasi ke tiga akun AWS GovCloud dengan tingkat hak istimewa yang tinggi
  • Arsip tersebut juga mencakup kredensial plaintext untuk artifactory internal milik CISA
  • Artifactory tersebut adalah repositori paket kode yang digunakan CISA untuk membangun perangkat lunak, dan dapat menjadi target menarik bagi penyerang yang ingin mempertahankan pijakan permanen di sistem CISA
  • Caturegli menilai lokasi ini sangat cocok untuk pergerakan lateral, dan jika backdoor ditanamkan ke paket perangkat lunak, maka backdoor itu bisa ikut didistribusikan ke setiap perangkat lunak baru yang dibangun kemudian

Cara penggunaan repositori dan pihak yang mengelolanya

  • Caturegli menilai akun GitHub ini lebih mirip digunakan pekerja individual sebagai buku catatan kerja atau sarana sinkronisasi daripada repositori proyek yang tertata
  • Karena alamat email terkait CISA dan alamat email pribadi sama-sama digunakan, ada kemungkinan repositori dipakai di lingkungan yang dikonfigurasi berbeda
  • Caturegli mengatakan metadata Git yang tersedia saja tidak dapat membuktikan endpoint atau perangkat mana yang digunakan
  • Hasil peninjauan akun GitHub dan kata sandi yang terekspos menunjukkan bahwa repositori Private-CISA dikelola oleh karyawan Nightwing, kontraktor pemerintah di Dulles, Virginia
  • Nightwing menolak berkomentar dan mengarahkan pertanyaan ke CISA

Respons CISA dan durasi paparan

  • Juru bicara CISA mengatakan lembaga tersebut mengetahui paparan yang dilaporkan dan masih terus menyelidiki situasinya
  • CISA mengatakan saat ini tidak ada indikasi bahwa data sensitif telah dikompromikan akibat insiden ini
  • CISA menyatakan pihaknya menuntut tingkat integritas dan kesadaran operasional yang tinggi dari anggota tim, dan sedang menyiapkan langkah perlindungan tambahan untuk mencegah kejadian serupa
  • CISA tidak menanggapi pertanyaan mengenai kemungkinan durasi paparan data
  • Menurut Caturegli, repositori Private-CISA dibuat pada 13 November 2025, dan akun GitHub kontraktor tersebut dibuat pada September 2018
  • Segera setelah KrebsOnSecurity dan Seralys memberi tahu CISA tentang paparan ini, akun GitHub yang memuat repositori Private-CISA menjadi offline
  • Caturegli mengatakan kunci AWS yang terekspos tetap valid selama 48 jam setelah itu, sesuatu yang menurutnya sulit dijelaskan

Kata sandi lemah dan risiko perluasan kompromi

  • Repositori Private-CISA yang kini ditutup juga menunjukkan jejak penggunaan kata sandi yang mudah ditebak untuk berbagai sumber daya internal
  • Banyak kredensial menggunakan kata sandi berbentuk nama masing-masing platform diikuti tahun berjalan
  • Caturegli menilai praktik seperti ini dapat menjadi ancaman keamanan serius di organisasi mana pun, bahkan jika tidak terekspos ke luar
  • Penyerang sering memperluas cakupan akses di jaringan internal setelah mendapatkan akses awal ke sistem target dengan memanfaatkan kredensial inti yang terekspos di dalamnya
  • Berdasarkan fakta bahwa kontraktor CISA tersebut telah rutin melakukan commit ke repositori ini sejak November 2025, Caturegli menduga GitHub mungkin digunakan untuk menyinkronkan file antara laptop kerja dan komputer rumah
  • Caturegli menilai ini adalah kebocoran yang memalukan bagi perusahaan mana pun, tetapi dalam kasus ini lebih bermasalah karena melibatkan CISA

Latar belakang organisasi

  • CISA saat ini beroperasi hanya dengan sebagian dari tingkat anggaran dan jumlah personel normalnya
  • CISA telah kehilangan hampir sepertiga tenaga kerjanya sejak dimulainya pemerintahan Trump yang kedua
  • Pengurangan personel tersebut dijelaskan sebagai hasil dari pemaksaan pensiun dini, buyout, dan pengunduran diri di berbagai bagian lembaga
  • Laporan terkait: CISA has lost nearly a third of its workforce

Bacaan terkait

1 komentar

 
GN⁺ 4 jam lalu
Komentar Hacker News

  • Alasan Valadon menghubungi adalah karena pemiliknya tidak merespons dan informasi yang terekspos sangat sensitif; kontraktor CISA yang membocorkan kredensial saja sudah tidak masuk akal, tetapi tidak merespons setelah diberi tahu jauh lebih parah.
    Selain itu, AWS-Workspace-Firefox-Passwords.csv dikabarkan berisi nama pengguna dan kata sandi plaintext untuk puluhan sistem internal CISA.
    Saya paham dan prihatin dengan situasi CISA yang sedang dipangkas, tetapi passwords.csv berisi kata sandi lemah adalah ketidakmampuan yang tak bisa dibela, dan pengelola kata sandi juga tidak butuh anggaran besar.

    • Istilah yang dicari adalah kelalaian berat.
    • Bukan untuk membela orang ini, tetapi ada indikasi kuat GitHub dipakai seperti alat sinkronisasi file.
      Firefox-passwords.html dan firefox-bookmarks.html adalah file yang dulu biasa diekspor lalu diimpor lagi sebelum pindah ke komputer baru, cara lama sebelum ada Firefox Sync.
      Artikel itu juga menyebutnya, tetapi ini cukup mencolok untuk disorot tersendiri.
    • Di satu sisi CISA sedang dipangkas, di sisi lain retorika tentang keamanan siber, kepentingan nasional, dan infrastruktur kritis terus membesar.
    • Sebagian besar kenalan saya di CISA dibereskan saat kampanye DOGE pada Januari–Maret 2025.
      Tidak ada pemberitahuan sebelumnya, semacam “kami yang berusia 20-an tidak tahu kamu mengerjakan apa, jadi kamu dipecat.”
      Tim yang menangani kerentanan keamanan sistem pemungutan suara Diebold dan peretasan implant luar negeri juga hilang.
    • “Peretasan” pertama yang saya laporkan adalah ketika menemukan file kata sandi plaintext di jaringan komputer SMA, dan itu terjadi pada 1987.
      Dunia berubah, tetapi beberapa hal tetap sama.

  • Salah satu hal yang diremehkan orang adalah menaruh .env atau secret di disk dalam repo lalu, meski belum di-commit, mengirim banyak secret ke OpenAI, Anthropic, atau OpenRouter.
    LLM dengan senang hati bisa membaca seluruh file lalu mengirimkannya ke data pelatihan ChatGPT setelahnya tanpa peringatan apa pun.
    Soalnya, memeriksa apakah variabel lingkungan sudah diatur atau apakah kata sandi database aplikasi sudah siap terlihat seperti pekerjaan yang normal.
    Kini organisasi harus mengaudit dan merotasi secret yang tersimpan di disk atau log, dan memindahkannya ke alat seperti SOPS atau Vault agar tidak dibiarkan dalam plaintext kecuali pada saat benar-benar diperlukan.

    • Masalah ini jauh lebih diremehkan daripada yang dibayangkan.
      Jalur kebocoran biasanya bukan “seseorang meng-commit secret”, melainkan lebih seperti “agen membaca .env saat menjawab lalu memasukkan nilainya apa adanya ke analisis, dan prompt serta completion itu masuk ke data pelatihan atau cache hit milik orang lain”.
      Untuk proyek yang benar-benar memiliki secret, saya memasukkan .env, credentials/, dan .pem ke .aiignore atau .claudeignore, menulis di file instruksi per proyek agar “jangan membaca file .env meski diminta”, dan membuat secret disuntikkan sebagai variabel lingkungan saat proses dimulai dari 1Password atau keychain, bukan dari disk.
      Masalah yang lebih besar adalah bahwa “hormati .gitignore” adalah abstraksi yang salah.
      Di repo privat, ada banyak file yang boleh di-commit tetapi tetap tidak boleh bocor ke API LLM, dan kedua himpunan itu tidak sama.
    • Secara adil, file .env di pohon pengembangan seharusnya tidak berisi secret yang sangat penting.
      Itu seharusnya secret pengembangan dengan hak akses terbatas, dan nilai yang terhubung ke sistem “produksi”, seperti lingkungan pengembangan OpenAI, juga sebisa mungkin harus dibatasi izinnya.
      Bukan cuma soal kebocoran; saat pengujian dan pengembangan juga mudah tanpa sengaja menyebabkan denial-of-service ke sistem atau mengirim permintaan yang salah.
      Anda ingin menghindari situasi ketika seseorang sedang mengerjakan otomatisasi pengujian lalu tanpa sengaja mengirim ribuan hasil nyata dan berakhir dengan tagihan 1.000 dolar.
    • Setuju. Kredensial tetap jangka panjang adalah masalah yang sebenarnya.
      Patut dipuji bahwa AWS dan cloud besar lainnya membuat alat untuk keluar dari pola ini, dan bahkan memberi dorongan halus maupun cukup kuat.
      Tetapi belum semua orang sampai ke tingkat yang dibutuhkan.
      Misalnya, Railway tidak memungkinkan akses ke resource AWS lewat role/OIDC; saya sudah membuat tiket, tetapi belum melihat perkembangan.
      0: https://station.railway.com/feedback/allow-for-integration-w...
    • Saya tidak lagi menyimpan file dotenv dalam plaintext.
      Saya mempertahankan file environment yang dienkripsi dengan sops, dan membuatnya bisa dipakai di shell saat bekerja lewat alat seperti direnv.
      Tentu saja LLM masih bisa mengeluarkan secret ini, tetapi kemungkinannya lebih kecil.
      Lagi pula setidaknya Claude cenderung menghindari membaca dotenv, dan pada akhirnya secret lokal itu sendiri juga seharusnya tidak dibuat terlalu penting.
      Gunakan scope terbatas, akun pengembangan, dan semacamnya.
    • Dari yang saya lihat belakangan ini, setidaknya Claude cukup berusaha untuk tidak membaca file environment.
      Misalnya, agar ia membaca database dan mengaksesnya, Anda harus mendorongnya cukup keras di prompt.

  • Jika pada 2026 Anda menyimpan kredensial pemerintah di repo dan bahkan tidak punya pemindai untuk menangkapnya, itu pantas diselidiki.
    Saya akan sangat curiga pada orang yang melakukan hal seperti ini dalam profesi spesialis.
    Kalau badan intelijen asing melihat ini, saya rasa mereka pertama kali akan menganggapnya honeypot, terlalu terang-terangan sampai tampak seperti jebakan yang kurang imajinatif.

    • Syukurlah semua orang yang kompeten di pemerintah sudah dipecat.
    • Kita sudah tahu DOGE berusaha mengekstrak data pemerintah AS, seperti seluruh pegawai pemerintah AS atau seluruh nomor Jaminan Sosial.
      Di pemerintahan sebelumnya saya mungkin akan mengira ini operasi umpan CISA, tetapi mengingat korupsi dan inkompetensi pemerintahan ini, ditambah PHK massal di CISA, ini bisa saja murni kesalahan nyata.

  • Dokumen sensitif juga diunggah ke ChatGPT [1].
    [1] https://www.politico.com/news/2026/01/27/cisa-madhu-gottumuk...

    • Setelah membaca artikel itu, terlihat seperti Trump/Noem mengisi jabatan-jabatan itu dengan mata-mata asing.
      Suatu hari nanti rakyat Amerika akan meminta pertanggungjawaban mereka.

  • Ironisnya, dengan kunci AWS itu mereka sebenarnya bisa memakai berbagai layanan AWS yang lebih aman.
    Misalnya S3, kalau bisa S3 dengan KMS, Parameter Store, EBS, EFS, AWS Secrets Manager, atau cukup mengenkripsi file secara langsung dengan KMS.
    Sebenarnya layanan AWS apa pun yang mendukung KMS dan tidak perlu memberi principal layanan akses ke kunci bisa dipakai.

  • Yang mengejutkan, hal ini berlangsung selama 6–7 bulan.
    Saya kira perusahaan seperti GitGuardian atau peneliti individu yang memakai trufflehog akan menemukan kunci yang bocor dalam hitungan hari.
    Mungkin GitHub sudah tumbuh begitu besar sehingga pemindai tidak mampu mengejarnya.

  • Nama repozitorinya benar-benar Private-CISA.
    Akan menarik jika mencari nama repo yang memuat kata seperti private, internal, lalu mencari nama lembaga pemerintah atau perusahaan nonteknologi yang biasanya tidak muncul dalam nama repo.
    Setelah itu semuanya bisa dikloning lalu dipindai cepat dengan LLM untuk melihat apakah ada hal menarik.
    Tapi bukankah GitHub punya pemindai otomatis untuk hal dasar seperti kredensial AWS?

    • Hanya jika diaktifkan. Menurut artikel, pengguna ini mematikan fitur tersebut.

  • Yang benar-benar disayangkan adalah pemerintah federal sudah memiliki CAC, yaitu autentikasi berbasis smart card, sejak puluhan tahun lalu.
    Namun karena stack internet publik berjalan di atas kata sandi, infrastruktur pemerintah pun pada akhirnya ikut memakai kata sandi.