Valadon a găsit foi de calcul conținând așa-numitele „credențiale în text clar” – adică parole și chei scrise direct, fără criptare – într-un depozit GitHub gestionat de un angajat al unui contractor CISA. Aceste date permiteau accesul la sisteme interne ale CISA și chiar ale Departamentului pentru Securitate Internă (DHS), agenția-mamă. Cercetătorul a testat câteva dintre chei pentru a verifica dacă erau valide și a confirmat că funcționau.
Ceea ce face acest incident cu atât mai jenant este însăși misiunea CISA: de a proteja rețelele guvernamentale și de a oferi ghidaje de securitate cibernetică. Printre recomandările standard ale CISA se numără stocarea parolelor în manageri securizați, nu în foi de calcul neprotejate. Exact opusul a ceea ce s-a întâmplat.
Valadon a încercat să raporteze problema direct contractorului care întreținea depozitul GitHub, dar nu a primit niciun răspuns. Așa că a apelat la Brian Krebs, care a mediat alerta. Abia atunci CISA a luat măsuri. Până la momentul publicării articolului, un purtător de cuvânt al CISA nu a comentat dacă agenția are dovezi că cineva a folosit aceste credențiale înainte de descoperirea lui Valadon. De asemenea, nu a fost clar dacă toate credențialele au fost revocate și înlocuite.
Incidentul ridică întrebări serioase despre cultura de securitate din cadrul CISA și al contractorilor săi. Deși eroarea a fost făcută de un angajat al unui contractor, responsabilitatea finală revine agenției. CISA trebuie să se asigure că toți partenerii externi respectă aceleași standarde stricte pe care le predică.
Contextul politic și organizațional face situația și mai delicată. CISA nu mai are un director permanent din 20 ianuarie 2025, când Jen Easterly a demisionat înainte de instalarea administrației Trump. De atunci, agenția a pierdut aproximativ o treime din personal, din cauza concedierilor, disponibilizărilor și a înghețării angajărilor. O agenție slăbită, fără lider și cu resurse umane reduse, este mult mai vulnerabilă la astfel de scăpări.
Ce înseamnă asta pentru securitatea națională? Dacă un actor rău intenționat ar fi găsit acele credențiale înaintea cercetătorului, ar fi putut accesa sisteme guvernamentale sensibile, fura date sau chiar perturba operațiuni critice. Din fericire, de data aceasta, un „white hat” a intervenit la timp. Dar nu putem conta întotdeauna pe noroc.
Legea nescrisă a securității cibernetice spune că „nu poți să ai încredere în text clar”. Parolele și cheile trebuie criptate, gestionate prin soluții dedicate și, mai ales, nu trebuie să ajungă în depozite publice de cod. CISA însăși publică ghiduri despre cum să eviți astfel de greșeli. Ironia este amară.
Pe lângă lecția tehnică, există și una de comunicare și responsabilitate. Cercetătorul a raportat problema, dar contractorul a ignorat alertele. Cât de multe astfel de vulnerabilități rămân necorectate pentru că organizațiile nu răspund la raportări? Este un semnal de alarmă pentru toate agențiile guvernamentale: trebuie să existe canale clare și receptive pentru raportarea vulnerabilităților.
În final, acest incident ar trebui să determine o revizuire completă a practicilor de securitate ale CISA și ale contractorilor săi. Nu este doar o chestiune de imagine, ci de securitate națională. O agenție care ar trebui să fie un far al bunelor practici nu poate să facă exact ceea ce le interzice altora.
De ce este important:
Acest caz demonstrează că nici măcar agențiile însărcinate cu securitatea cibernetică nu sunt imune la greșeli elementare. Expunerea credențialelor în text clar pe GitHub este o încălcare gravă a principiilor de bază ale securității. Dacă CISA, care sfătuiește întregul guvern federal cum să se protejeze, poate face o astfel de gafă, atunci încrederea în capacitatea sa de a proteja rețelele naționale este serios zdruncinată. Mai mult, incidentul subliniază vulnerabilitatea creată de lipsa de personal și de leadership într-o agenție critică. Fiecare cetățean ar trebui să fie preocupat de faptul că datele guvernamentale sensibile pot fi expuse din cauza neglijenței umane, iar remedierea depinde de bunăvoința unor cercetători independenți.
