CISA, berupaya mengendalikan kebocoran data

 (krebsonsecurity.com)
1 poin oleh GN⁺ 5 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Kontraktor CISA mengunggah puluhan kredensial plaintext untuk sistem internal ke profil GitHub publik “Private-CISA”, dan juga meninggalkan jejak bahwa fitur perlindungan GitHub dinonaktifkan
  • CISA mengakui kebocoran tersebut tetapi tidak menjawab berapa lama data terekspos, dan repositori itu dibuat pada November 2025 serta menunjukkan pola penggunaan seperti scratchpad pribadi
  • Anggota parlemen seperti Maggie Hassan dan Bennie Thompson mempertanyakan kebijakan keamanan internal CISA, pengelolaan kontraktor, dan budaya keamanannya di saat ancaman terhadap infrastruktur kritis meningkat
  • Bahkan seminggu setelah notifikasi dari GitGuardian, sebagian kunci masih dalam proses penggantian, dan Dylan Ayrey dari TruffleHog mengatakan kunci privat RSA masih aktif per 20 Mei
  • Feed event GitHub publik dapat dipantau baik oleh pihak bertahan maupun penyerang, sehingga tetap ada risiko nilai rahasia sensitif yang ditambahkan pada akhir April 2026 sudah disalahgunakan

Kebocoran CISA dan pertanyaan dari Kongres

  • Kontraktor CISA membuat profil GitHub publik bernama “Private-CISA” saat memiliki hak admin atas platform pengembangan kode lembaga, dan di dalamnya terdapat puluhan kredensial plaintext untuk sistem internal CISA
  • Log commit menunjukkan jejak bahwa fitur perlindungan bawaan GitHub yang mencegah publikasi kredensial sensitif ke repositori publik telah dinonaktifkan
  • CISA mengakui kebocoran itu tetapi tidak menjawab berapa lama data terekspos
  • Para ahli yang meninjau arsip Private-CISA yang telah hilang menilai repositori itu pertama kali dibuat pada November 2025 dan menunjukkan pola penggunaan yang lebih mirip scratchpad kerja pribadi atau sarana sinkronisasi daripada repositori proyek yang tertata
  • Dalam pernyataan tertulis, CISA mengatakan “tidak ada indikasi bahwa data sensitif telah disusupi sebagai akibat dari insiden ini”

Kekhawatiran anggota parlemen soal budaya keamanan

  • Sen. Maggie Hassan dalam surat 19 Mei kepada Pelaksana Tugas Direktur CISA Nick Andersen menyatakan bahwa kegagalan keamanan seperti ini di lembaga yang membantu mencegah pelanggaran siber menimbulkan pertanyaan serius tentang bagaimana hal itu bisa terjadi
  • Hassan menyoroti bahwa kekhawatiran atas kebijakan dan prosedur internal CISA meningkat pada saat ancaman siber serius yang menargetkan infrastruktur kritis AS terus berlanjut
  • Insiden ini terjadi di tengah kekacauan besar di internal CISA, setelah pemerintahan Trump memaksa pensiun dini, buyout, dan pengunduran diri di berbagai divisi, sehingga CISA kehilangan lebih dari sepertiga tenaga kerjanya dan hampir semua pemimpin seniornya
  • Rep. Bennie Thompson dalam surat 19 Mei menyatakan insiden ini bisa mencerminkan budaya keamanan yang melemah atau kurangnya kemampuan CISA dalam mengelola dukungan kontraktor
  • Thompson dan penanda tangan bersama Rep. Delia Ramirez menilai file dalam repositori Private-CISA dapat memberikan intelijen, akses, dan peta jalan bagi pihak bermusuhan seperti China, Rusia, dan Iran yang berupaya memperoleh akses dan persistensi di jaringan federal

Pencabutan kredensial yang belum selesai

  • Bahkan lebih dari seminggu setelah perusahaan keamanan GitGuardian pertama kali memberi tahu CISA tentang kebocoran data ini, CISA masih terus menonaktifkan dan mengganti banyak kunci dan rahasia yang terekspos
  • Dylan Ayrey, pembuat TruffleHog, mengatakan bahwa per 20 Mei sebuah kunci privat RSA yang terekspos di repositori Private-CISA masih belum dicabut
  • Kunci privat RSA ini memberikan akses ke GitHub App yang dimiliki akun enterprise CISA dan dipasang pada organisasi GitHub CISA-IT, serta memiliki akses penuh ke semua repositori kode
  • Menurut Ayrey, penyerang dapat menggunakan kunci ini untuk membaca seluruh source code repositori dan repositori privat di organisasi CISA-IT, mendaftarkan self-hosted runner berbahaya untuk mengambil alih pipeline CI/CD, dan mengakses rahasia repositori
  • Penyerang juga dapat mengubah pengaturan admin repositori, termasuk aturan perlindungan branch, webhook, dan deployment key
  • Setelah KrebsOnSecurity memberi tahu CISA pada 20 Mei tentang temuan Ayrey, CISA tampaknya telah mencabut kunci privat RSA tersebut
  • Ayrey mengatakan CISA masih belum mengganti kredensial bocor lain yang terhubung dengan teknologi keamanan penting lain yang diterapkan di seluruh portofolio teknologi lembaga
  • CISA menjawab bahwa mereka “secara aktif merespons dan berkoordinasi dengan pihak terkait dan vendor untuk memastikan kredensial bocor yang teridentifikasi diganti dan dicabut, dan akan terus mengambil langkah yang tepat untuk melindungi keamanan sistem”

Dua sisi feed event GitHub publik

  • Truffle Security memantau kunci yang terekspos di GitHub dan berbagai platform kode lainnya, serta berupaya memberi tahu akun yang terdampak tentang paparan data sensitif
  • GitHub menyediakan feed real-time yang mencakup semua commit dan riwayat perubahan pada repositori kode publik, dan struktur ini memungkinkan deteksi paparan
  • Ayrey mengatakan para penjahat siber juga memantau feed publik ini dan dengan cepat memburu API key atau SSH key yang tanpa sengaja dipublikasikan dalam commit kode
  • Repositori GitHub Private-CISA mengekspos puluhan kredensial plaintext untuk sumber daya penting CISA GovCloud
  • Ayrey mengatakan kemungkinan besar organisasi kejahatan siber atau pihak bermusuhan dari luar negeri juga melihat publikasi rahasia CISA, dan paparan paling serius tampaknya terjadi pada akhir April 2026
  • Risiko utamanya tetap bahwa “siapa pun yang memantau event GitHub bisa saja memiliki informasi ini”

Batasan kontrol teknis

  • James Wilson dari podcast keamanan Risky Business menilai organisasi yang mengelola proyek kode melalui GitHub dapat menetapkan kebijakan tingkat atas agar karyawan tidak bisa mematikan fitur pencegahan publikasi kunci rahasia dan kredensial
  • Co-host Adam Boileau menilai tidak jelas teknologi apa yang bisa menghentikan karyawan membuka akun GitHub pribadi untuk menyimpan informasi sensitif dan proprietary
  • Boileau menyebut insiden ini sebagai masalah manusia yang sulit diselesaikan hanya dengan kontrol teknis
  • Jika kontraktor menggunakan GitHub untuk menyinkronkan konten antara perangkat kerja dan perangkat pribadi, insiden ini menunjukkan batasan dalam mencegah tindakan yang berada di luar cakupan yang dapat dikelola atau dilihat CISA
  • Pembaruan artikel menambahkan pernyataan CISA dan memperbaiki kesalahan tanggal setelah Truffle Security menjelaskan bahwa sebagian rahasia paling sensitif di repositori ditambahkan pada akhir April 2026, bukan pada 2025

Bacaan terkait

1 komentar

 
GN⁺ 5 jam lalu
Komentar Hacker News

  • Ini benar-benar kesalahan yang keterlaluan. Kalimat “lebih cocok dengan pola penggunaan repositori sebagai buku catatan kerja pribadi atau sarana sinkronisasi ketimbang repositori proyek yang dikelola” itu maksudnya apa? Bukankah dasar paling dasar Git adalah tidak memasukkan kredensial? Saya benar-benar tidak paham pola apa yang dimaksud

    • Ungkapan itu bukan pembelaan seolah itu cara kerja yang mapan atau praktik terbaik
      Mengatakan “menunjukkan pola yang konsisten dengan ~” cuma menjelaskan repositori itu tampak digunakan seperti apa. Artinya, itu bukan bundel source code pemerintah untuk proyek internal, dan juga bukan sinyal bahwa ada niat melakukan kebocoran data besar-besaran
    • Pola penggunaan yang dimaksud sebenarnya sudah tertulis jelas: dipakai seperti semacam catatan kerja pribadi
      Kamu memberi makna lebih besar daripada yang sebenarnya ada di kalimat itu. Itu cuma mencatat hasil pengamatan
    • Sama sekali bukan kesalahan. Pemerintah AS menurut saya sudah dibobol total oleh intelijen asing, dan ‘pelanggaran’ ini sepenuhnya disengaja
    • Kalau saya dibayar 1 dolar untuk setiap rahasia yang pernah di-commit ke repositori publik, mungkin saya sudah bisa pensiun. Tentu itu bukan pembenaran. Tapi cukup lucu kalau berpura-pura pemerintah AS tidak juga terdiri dari orang-orang seperti kita

  • Kalau kontrol teknis mereka lebih kompeten, seharusnya situasi di mana kontraktor sembarangan bisa menyalin password pertengahan 2025 ke komputer rumah, lalu password itu masih tetap berlaku bukan cuma 30 hari tapi bahkan 5 hari kemudian, sejak awal sudah dicegah

    • Betul. Sebenarnya saya kira pemerintah sudah sejak lama cukup serius memakai smart card dan HSM untuk semua hal. Saya tidak paham kenapa masih memberi siapa pun kredensial yang bisa diekstrak, padahal tinggal membagikan hardware yang tidak memungkinkan kredensialnya dikeluarkan
      Di beberapa organisasi biaya tambahannya mungkin jadi masalah, tapi di sini jelas bukan itu situasinya. Atau mungkin ini gejala lain dari pembusukan yang muncul karena proyek dan standar seperti ini dulunya memang pekerjaan CISA, lalu dirusak Partai Republik tahun lalu. Bagaimanapun, teknologi jelas bisa mengurangi kejadian seperti ini; ini bukan bencana alam yang tak terhindarkan
    • Saya tidak menangani rahasia negara, tapi saya memang mengakses data yang sensitif atau bernilai bagi pelanggan. Gagasan untuk mengunduh sesuatu langsung ke perangkat saya sendiri saja sudah sulit saya pahami
      Bahkan mengunduh file log dengan sesuatu seperti "aws s3 cp s3://client/file - | less" pun terasa kurang ideal. Jauh lebih baik menjalankan instance murah lalu melihat data dari dalam VPC pelanggan

  • Kalau organisasi ahli diperkecil, wajar kalau banyak kemampuan ikut menurun, termasuk kapasitas keamanan operasional
    Pada 2020, Chris Krebs membantah klaim pemilu dicuri. Pada 2025, Trump memecat Krebs dan mencabut izin keamanannya, sehingga CISA dibiarkan tanpa direktur. https://en.wikipedia.org/wiki/Chris_Krebs
    Pada Maret 2025, pemangkasan mulai dilakukan. https://techcrunch.com/2025/03/11/doge-axes-cisa-red-team-st...
    Bahkan pada 2026, lembaga itu masih tidak punya direktur dan beroperasi dalam kondisi nyaris habis. https://techcrunch.com/2026/02/25/us-cybersecurity-agency-ci...
    Langkah-langkah ini konsisten dengan upaya sengaja melemahkan pertahanan sebuah negara dari dalam dan menebar kekacauan

    • Kalau yang bertanggung jawab adalah kekuatan asing yang bermusuhan, apakah kita bahkan bisa membedakannya?
    • Sejujurnya, ini lebih langsung cocok dengan ketidakmampuan yang agresif dan perekrutan/pemecatan berdasarkan loyalitas. Saya akui pertanyaan tentang bagaimana orang-orang bodoh itu bisa mendapat wewenang merekrut dan memecat adalah masalah yang lebih rumit
    • Krebs dipecat pada 2020, bukan 2025

  • CISA kehilangan lebih dari sepertiga stafnya dan sebagian besar pemimpin seniornya setelah pemerintahan Trump mendorong pensiun dini, buyout, dan pengunduran diri di berbagai lembaga

  • Para senator tampaknya menanyakan kenapa CISA mengurangi upaya terkait keamanan pemilu[1]. Waktu pengunduran diri Tulsi hari ini juga terlihat anehnya bertepatan dengan saat kabar ini dipublikasikan
    [1]https://www.padilla.senate.gov/newsroom/press-releases/padil...

    • Saya tidak paham kenapa senator AS ribut begini. Trump sudah sangat jelas saat mengajukan anggaran bahwa ia ingin memangkas besar-besaran anggaran CISA, dan ia juga secara langsung memerintahkan CISA menutup kantor keamanan pemilu
      Ini seperti meme “siapa yang membunuh Hannibal”. Kalau Padilla dan Warner tidak tahu ini, berarti mereka juga tidak kompeten. Apalagi karena tahun lalu mereka sendiri sudah membahasnya dalam siaran pers:
      https://www.padilla.senate.gov/newsroom/news-coverage/cnn-tr...
      Padilla, kenapa lupa ini pernah terjadi?

  • Ini mengingatkan pada NCTifikasi transportasi publik. Jika anggarannya dipotong, tingkat layanan turun, lalu opini publik negatif menyusul
    Pada akhirnya jalur seperti itu bisa berujung pada perluasan privatisasi lewat kontraktor keamanan

    • Yang membocorkan kredensial justru kontraktor keamanan. Jadi kita sebenarnya sudah sampai di tahap akhir perluasan privatisasi itu

  • Saya teringat dulu ada kebocoran 1 juta formulir SF-86. Formulir yang diisi dengan informasi sangat pribadi itu, yang katanya dipakai untuk menilai apakah kita layak dipercaya memegang data sensitif

    • Itu bukan kebocoran, melainkan pembobolan. Pelakunya badan keamanan negara Tiongkok
    • Bukankah itu dulu OPM, bukan CISA?

  • Para anggota legislatif menginginkan jawaban, tetapi mereka sendiri tidak memberi jawaban. Jadi siapa yang mengawasi para pengawas? Korupsi para anggota legislatif terjadi dalam skala besar, tetapi kalau satu kunci terpublikasi apakah kepala orang langsung dipenggal? Bahkan orang yang sangat pintar pun sering tak sengaja mempublikasikan kunci
    Pernah menjalankan rm -rf *? Pernah menghapus database produksi? Pernah mematikan server yang salah? Semua orang pernah

    • Pengawasan mereka bukan untuk kepedulian, melainkan untuk kontrol. Sifatnya diam-diam bermusuhan, dan “kepedulian” hanyalah dalih, bukan kenyataan

  • Kalau orang-orang yang seharusnya ahli ini saja tidak bisa benar-benar aman di internet, saya tidak tahu bagaimana orang lain bisa aman di internet

    • Ini terjadi setelah Doge. Doge melakukan tugasnya dengan baik. Sayangnya, banyak orang lain yang begitu saja menelan kebohongan Doge

  • Poin yang benar-benar penting bukan hanya kunci AWS GovCloud yang bocor, tetapi bahwa kontraktor itu mematikan perlindungan pemindaian rahasia GitHub secara manual