Ausgerechnet der für Security-Empfehlungen an US-Behörden zuständigen Cybersecurity and Infrastructure Security Agency (CISA) ist ein schwerwiegendes Security-Missgeschick passiert. Einem
Bericht des Magazins 'The Register' zufolge hat ein Agenturmitarbeiter ein Github-Repository namens "Private-CISA" offen gelassen, das Passwörter im Klartext, private Schlüssel, Tokens und andere Geheimnisse enthielt. Diese waren zudem noch in Files mit ganz eindeutigen Namen wie "external-secret-repo-creds.yaml" oder "AWS-Workspace-Firefox-Passwords.csv" enthalten. Und dies nicht weniger als sechs Monate lang.
Das Magazin wurde vom Security-Researcher Guillaume Valadon von Gitguardian über den Vorfall informiert. Dieser hatte das Repository, das er am 14. Mai gefunden hatte, zunächst für einen Scherz gehalten. "Es wurde schnell klar, dass es sich um eine schwerwiegende Sicherheitslücke handelte und die Zeit knapp wurde. Dass eine nationale Behörde sechs Monate lang 844 Megabyte an Material zur Produktionsinfrastruktur in einem öffentlichen Github-Repository gespeichert hatte, ist ein Fall von gröbster Fahrlässigkeit."
Gitguardian informierte die CISA noch am Tag des Fundes. Diese entfernte das Repository dann am nächsten Tag, aber erst, nachdem sich auch der bekannte Security-Blogger Brian Krebs eingeschaltet und so den Druck erhöht hatte.
Auf Anfrage des Magazins erklärte die CISA, dass sie sich der Situation bewusst sei und den Vorfall weiterhin untersuche. Derzeit gebe es aber keine Anzeichen dafür, dass durch diesen Vorfall sensible Daten offengelegt wurden.
Trotzdem ist dies natürlich ein schwerwiegender Fauxpas für eine Security-Behörde, die anderen Best-Practices predigen soll. Die CISA hat allerdings auch organisatorisch mit grossen Schwierigkeiten zu kämpfen. Seit dem Amtsantritt von Donald Trump hat sie keine feste Leiter mehr. Zudem wurde ihr Personalbestand stark reduziert und ihr Budget um einige hundert Millionen Dollar gesenkt.