CISA - Cơ quan an ninh mạng hàng đầu Mỹ - vô tình lộ mật khẩu và khóa bảo mật trên GitHub với tên file cực kỳ "ngây ngô"

Cơ quan An ninh An toàn không gian mạng Mỹ (CISA) – đơn vị chịu trách nhiệm bảo vệ hạ tầng quan trọng của nước Mỹ – mới đây đã mắc sai lầm bảo mật nghiêm trọng khi để lộ một kho lưu trữ GitHub công khai chứa mật khẩu, khóa riêng tư và mã thông báo (tokens) trong suốt 6 tháng.

Điều đáng nói là các tệp tin này có tên gọi "lộ liễu" đến mức khó tin, chẳng hạn như external-secret-repo-creds.yaml, AWS-Workspace-Firefox-Passwords.csv, hay Important AWS Tokens.txt.

Một kho tàng bí mật của hacker

Vụ việc được phát hiện bởi nhà nghiên cứu Guillaume Valadon từ GitGuardian vào ngày 14 tháng 5. Ngay sau khi nhìn thấy cấu trúc thư mục và tên file, Valadon đã nhận định rằng vụ rò rỉ này "tồi tệ đến mức khó tin".

Theo ông Valadon, việc một cơ quan quốc gia để lộ 844 MB dữ liệu cơ sở hạ tầng sản xuất trên một kho lưu trữ GitHub công khai trong suốt 6 tháng là một trong những sự cố rò rỉ mã bảo mật (secrets leak) nghiêm trọng nhất.

Dữ liệu bị lộ bao gồm:

• Mã thông báo cho JFrog Artifactory nội bộ của CISA.
• Khóa đăng ký Azure và thông tin xác thực AWS.
• Các file khai báo (manifests) Kubernetes và file ứng dụng ArgoCD.
• Mã cơ sở hạ tầng Terraform.
• Mã truy cập cá nhân (personal access tokens) của GitHub.
• Chứng chỉ SAML Entra ID.

Trong một bài đăng trên blog, Valadon chia sẻ rằng ông ban đầu nghĩ đây là một trò đùa (hoax), bởi các tên thư mục như Backup-April-2026/, All Backups/, LZ-Artifactory/, hay ENTRA ID - SAML Certificates/ cùng với nội dung chứa các khóa riêng tư trông có vẻ quá hoàn hảo để trở thành sự thật.

Tuy nhiên, đây không phải là trò đùa mà là một "tư mẫu của các thực hành không an toàn".

Quá trình xử lý và những lỗ hổng nhân sự

GitGuardian đã báo cáo sự cố rò rỉ cho CISA vào ngày 14 tháng 5, và cơ quan này đã gỡ bỏ kho lưu trữ vào ngày hôm sau. Tuy nhiên, quy trình ban đầu diễn ra khá chậm chạp.

Valadon cho biết sau khi báo cáo qua cổng thông tin CERT/CC vào ngày 14 tháng 5 nhưng chỉ nhận được phản hồi tự động, ông đã phải liên hệ với nhà báo an ninh mạng Brian Krebs vào sáng ngày 15 tháng 5. Điều này dường như đã thúc đẩy CISA hành động nhanh hơn, và kho lưu trữ đã bị xóa offline vào lúc 6 giờ tối cùng ngày.

Một người phát ngôn của CISA xác nhận họ đang điều tra vụ việc và cho đến nay "không có dấu hiệu cho thấy dữ liệu nhạy cảm bị xâm phạm do sự cố này".

Đáng chú ý, người đã commit (đẩy) dữ liệu này lên GitHub đã sử dụng cả email cá nhân (Yahoo) và email nhà thầu được CISA cấp trong các lần commit khác nhau trên cùng một kho lưu trữ. Mô hình "xác thực hỗn hợp" này được Valadon đánh giá là một trong những bề mặt khó khăn nhất đối với các đội ngũ bảo mật, và thường là nơi xảy ra những vụ rò rỉ tồi tệ nhất.

Nguy cơ và bài học

Mặc dù kho lưu trữ không bị bất kỳ ai "fork" (sao chép) công khai trên GitHub, nhưng không thể khẳng định chắc chắn liệu những kẻ xấu có ý đồ độc hại đã tiếp cận dữ liệu trước đó hay chưa. Valadon nhận định rằng mỗi loại mã bảo mật trong kho lưu trữ đều mở ra một đường tấn công cụ thể, từ các cuộc tấn công phá hoại, tống tiền ransomware cho đến việc ẩn nấp lâu dài trong pipeline xây dựng và triển khai của CISA.

Sự cố này xảy ra trong bối cảnh CISA đang gặp nhiều khó khăn, bao gồm việc không có giám đốc thường trực, đối mặt với việc cắt giảm ngân sách hàng trăm triệu USD và giảm sâu nhân sự. Dù khen ngợi CISA đã phản hồi nhanh hơn nhiều so với tiêu chuẩn chung của các đợt công bố trách nhiệm (responsible disclosure), nhưng vụ việc vẫn là một cú sốc lớn đối với uy tín của cơ quan an ninh mạng hàng đầu nước Mỹ.