Các nhà lập pháp Mỹ yêu cầu giải thích sau vụ rò rỉ dữ liệu nghiêm trọng của CISA trên GitHub

Các nhà lập pháp Mỹ yêu cầu giải thích sau vụ rò rỉ dữ liệu nghiêm trọng của CISA trên GitHub

Các nhà lập pháp tại cả hai viện của Quốc hội Hoa Kỳ đang yêu cầu Cơ quan An ninh mạng và An ninh cơ sở hạ tầng (CISA) đưa ra lời giải thích chính thức sau khi KrebsOnSecurity tiết lộ rằng một nhà thầu của cơ quan này đã cố tình công bố các khóa truy cập AWS GovCloud và hàng loạt bí mật quan trọng khác lên một tài khoản GitHub công khai. Thông tin này được đưa ra trong bối cảnh CISA đang nỗ lực kiểm soát sự cố và vô hiệu hóa các thông tin đăng nhập bị rò rỉ.

Vào ngày 18 tháng 5, KrebsOnSecurity đã báo cáo rằng một nhà thầu của CISA, người có quyền quản trị trên nền tảng phát triển mã nguồn của cơ quan, đã tạo ra một hồ sơ GitHub công khai tên là "Private-CISA". Hồ sơ này chứa các thông tin đăng nhập dạng văn bản thuần túy (plaintext) cho hàng chục hệ thống nội bộ của CISA. Các chuyên gia an ninh mạng đã xem xét các bí mật bị lộ và nhận thấy rằng nhật ký commit (commit logs) của kho lưu trữ mã nguồn cho thấy nhà thầu này đã vô hiệu hóa tính năng bảo vệ tích hợp sẵn của GitHub nhằm ngăn chặn việc công bố thông tin nhạy cảm.

Thư của Thượng nghị sĩ Maggie Hassan gửi CISA

CISA đã thừa nhận sự cố rò rỉ nhưng chưa phản hồi về thời gian dữ liệu bị phơi nhiễm. Tuy nhiên, các chuyên gia phân tích kho lưu trữ "Private-CISA" cho biết nó ban đầu được tạo vào tháng 11 năm 2025. Mô hình hoạt động của kho lưu trữ này cho thấy cá nhân vận hành đã sử dụng nó như một "sổ nháp" hoặc cơ chế đồng bộ hóa thay vì một kho lưu trữ dự án được quản lý bài bản.

Trong một tuyên bố bằng văn bản, CISA khẳng định "không có dấu hiệu cho thấy dữ liệu nhạy cảm nào bị xâm phạm do sự cố này". Tuy nhiên, trong bức thư gửi Giám đốc CISA tạm quyền Nick Andersen vào ngày 19 tháng 5, Thượng nghị sĩ Maggie Hassan (D-NH) cho rằng việc rò rỉ thông tin đăng nhập đặt ra những câu hỏi nghiêm trọng về việc làm thế nào một lỗ hổng an ninh như vậy có thể xảy ra tại chính cơ quan chịu trách nhiệm giúp ngăn chặn các vi phạm mạng.

"Báo cáo này làm dấy lên lo ngại nghiêm trọng về các chính sách và quy trình nội bộ của CISA trong bối cảnh các mối đe dọa an ninh mạng nhắm vào cơ sở hạ tầng quan trọng của Mỹ đang gia tăng," Thượng nghị sĩ Hassan viết.

Thượng nghị sĩ Hassan cũng lưu ý rằng sự cố này xảy ra trong bối cảnh CISA đang gặp nhiều biến động lớn nội bộ, mất hơn một phần ba nhân lực và gần như toàn bộ các lãnh đạo cấp cao sau khi chính quyền trước đây thúc đẩy các chương trình nghỉ hưu sớm, mua lại và từ chức trên khắp các phòng ban của cơ quan.

Dân biểu Bennie Thompson (D-MS), thành viên cấp cao của Ủy ban An ninh Nội vụ Hạ viện, cũng đã lên tiếng chia sẻ mối lo ngại này.

"Chúng tôi lo ngại rằng sự cố này phản ánh một văn hóa an ninh bị suy giảm và/hoặc khả năng của CISA trong việc quản lý inadequately các nhà thầu hỗ trợ," ông Thompson viết trong thư gửi người đứng đầu CISA. "Không còn là bí mật gì rằng các đối thủ của chúng ta — như Trung Quốc, Nga và Iran — luôn tìm cách truy cập và duy trì sự hiện diện trên các mạng liên bang. Các tệp chứa trong kho lưu trữ 'Private-CISA' đã cung cấp chính thông tin, quyền truy cập và lộ trình để làm điều đó."

Danh sách tệp trong kho lưu trữ Private-CISA

KrebsOnSecurity được biết rằng hơn một tuần sau khi CISA được công ty an ninh GitGuardian thông báo về vụ rò rỉ dữ liệu, cơ quan này vẫn đang nỗ lực vô hiệu hóa và thay thế nhiều khóa và bí mật bị lộ.

Vào ngày 20 tháng 5, Dylan Ayrey, người tạo ra công cụ mã nguồn mở TruffleHog dùng để phát hiện các khóa riêng tư và bí mật bị chôn vùi trong mã trên GitHub, đã liên hệ với KrebsOnSecurity. Ayrey cho biết CISA vẫn chưa vô hiệu hóa một khóa riêng RSA bị lộ trong kho lưu trữ Private-CISA. Khóa này cấp quyền truy cập vào một ứng dụng GitHub thuộc sở hữu của tài khoản doanh nghiệp CISA và được cài đặt trên tổ chức GitHub CISA-IT với quyền truy cập đầy đủ vào tất cả các kho lưu trữ mã nguồn.

"Một kẻ tấn công sở hữu khóa này có thể đọc mã nguồn từ mọi kho lưu trữ trong tổ chức CISA-IT, bao gồm cả các kho lưu trữ riêng tư, đăng ký các trình chạy tự lưu trữ (self-hosted runners) giả mạo để chiếm quyền kiểm soát các đường ống CI/CD và truy cập các bí mật của kho lưu trữ, cũng như sửa đổi các cài đặt quản trị viên của kho lưu trữ bao gồm các quy tắc bảo vệ nhánh, webhooks và khóa triển khai," Ayrey cho biết. CI/CD là viết tắt của Continuous Integration và Continuous Delivery, đề cập đến một tập hợp các thực hành được sử dụng để tự động hóa việc xây dựng, kiểm thử và triển khai phần mềm.

KrebsOnSecurity đã thông báo cho CISA về phát hiện của Ayrey vào ngày 20 tháng 5. CISA đã xác nhận nhận được báo cáo nhưng chưa phản hồi các yêu cầu làm rõ sau đó. Ayrey cho biết CISA dường như đã vô hiệu hóa khóa riêng RSA bị lộ sometime sau khi nhận được thông báo đó. Tuy nhiên, ông lưu ý rằng CISA vẫn chưa thay đổi (rotate) các thông tin đăng nhập bị lộ liên quan đến các công nghệ bảo mật quan trọng khác được triển khai trên danh mục công nghệ của cơ quan.

Ayrey cho biết công ty Truffle Security của ông giám sát GitHub và một số nền tảng mã hóa khác để tìm các khóa bị lộ và cố gắng cảnh báo các tài khoản bị ảnh hưởng. Họ có thể thực hiện việc này dễ dàng trên GitHub vì nền tảng này xuất bản một nguồn cấp dữ liệu trực tiếp bao gồm ghi lại tất cả các thay đổi đối với các kho lưu trữ mã nguồn công khai. Tuy nhiên, ông cũng cảnh báo rằng các tội phạm mạng cũng giám sát các nguồn cấp dữ liệu này và thường nhanh chóng tận dụng các khóa API hoặc SSH bị vô tình công bố trong các lần commit mã.

Về mặt thực tế, rất có thể các nhóm tội phạm mạng hoặc các đối thủ nước ngoài cũng đã nhận thấy việc công bố các bí mật của CISA này, sự nghiêm trọng nhất trong số đó dường như đã xảy ra vào cuối tháng 4 năm 2025, Ayrey nhận định.

"Chúng tôi giám sát dòng dữ liệu này để tìm khóa và có các công cụ để cố gắng xác định chủ sở hữu của chúng," ông nói. "Chúng tôi có bằng chứng rằng những kẻ tấn công cũng giám sát dòng dữ liệu đó. Bất kỳ ai theo dõi các sự kiện trên GitHub đều có thể đang nắm giữ thông tin này."

James Wilson, biên tập viên công nghệ doanh nghiệp của podcast an ninh Risky Business, cho biết các tổ chức sử dụng GitHub để quản lý dự án mã nguồn có thể thiết lập các chính sách từ trên xuống để ngăn nhân viên vô hiệu hóa các biện pháp bảo vệ của GitHub chống lại việc công bố khóa bí mật. Tuy nhiên, người dẫn chương trình Adam Boileau cho rằng không rõ liệu có công nghệ nào có thể ngăn nhân viên mở tài khoản GitHub cá nhân của riêng họ và sử dụng nó để lưu trữ thông tin nhạy cảm và độc quyền hay không.

"Cuối cùng, đây là vấn đề bạn không thể giải quyết bằng các biện pháp kiểm soát kỹ thuật," Boileau nói trên podcast tuần này. "Đây là vấn đề của con người, nơi bạn thuê một nhà thầu để thực hiện công việc này và họ đã tự quyết định sử dụng GitHub để đồng bộ hóa nội dung từ máy làm việc sang máy ở nhà. Tôi không biết có thể áp dụng các biện pháp kiểm soát kỹ thuật nào trong trường hợp này, vì hành động này được thực hiện giả định là bên ngoài bất kỳ thứ gì CISA quản lý hoặc thậm chí có tầm nhìn tới."