CISA đối mặt với vụ rò rỉ dữ liệu nghiêm trọng khi nhà thầu để lộ khóa AWS GovCloud trên GitHub

Một nhà thầu làm việc cho Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) của Hoa Kỳ đã vô tình gây ra một vụ rò rỉ dữ liệu nghiêm trọng khi duy trì một kho lưu trữ GitHub công khai. Kho lưu trữ này đã lộ thông tin xác thực cho nhiều tài khoản AWS GovCloud có quyền hạn cao cùng hàng loạt hệ thống nội bộ quan trọng của CISA.

Các chuyên gia bảo mật nhận định rằng kho lưu trữ công khai này chứa các tệp tin chi tiết quy trình xây dựng, kiểm thử và triển khai phần mềm nội bộ của CISA. Vụ việc được xem là một trong những vụ rò rỉ dữ liệu chính phủ tồi tệ nhất trong lịch sử gần đây về mức độ nghiêm trọng của thông tin bị lộ.

Ảnh chụp màn hình kho lưu trữ Private-CISA đã bị xóa

Vào ngày 15 tháng 5, KrebsOnSecurity đã nhận được thông tin từ Guillaume Valadon, một nhà nghiên cứu thuộc công ty bảo mật GitGuardian. Công ty của Valadon liên tục quét các kho lưu trữ mã nguồn công khai trên GitHub và các nền tảng khác để tìm kiếm các bí mật bị lộ, sau đó tự động cảnh báo cho các tài khoản vi phạm về việc lộ dữ liệu nhạy cảm. Valadon cho biết ông đã liên hệ vì chủ sở hữu tài khoản trong trường hợp này không phản hồi, trong khi thông tin bị lộ lại cực kỳ nhạy cảm.

Kho lưu trữ GitHub mà Valadon phát hiện có tên là "Private-CISA", chứa một lượng lớn thông tin xác thực nội bộ của CISA/Bộ An ninh Nội địa (DHS), bao gồm các khóa đám mây, token, mật khẩu dạng văn bản thuần, nhật ký ghi log và các tài sản nhạy cảm khác của cơ quan này.

Valadon nhận định rằng thông tin xác thực của CISA bị lộ là một ví dụ điển hình về vệ sinh bảo mật kém (poor security hygiene). Ông lưu ý rằng nhật ký commit (commit logs) trong tài khoản GitHub vi phạm cho thấy quản trị viên CISA đã tắt cài đặt mặc định của GitHub vốn chặn người dùng đăng các khóa SSH hoặc các bí mật khác lên kho lưu trữ mã nguồn công khai.

"Mật khẩu được lưu dưới dạng văn bản thuần trong tệp csv, bản sao lưu (backup) trên git, các lệnh rõ ràng để tắt tính năng phát hiện bí mật của GitHub," Valadon viết trong email. "Thú thực là tôi đã tin rằng tất cả những thứ này là giả mạo trước khi phân tích sâu hơn nội dung của nó. Đây thực sự là vụ rò rỉ tồi tệ nhất mà tôi từng chứng kiến trong sự nghiệp của mình. Rõ ràng đây là sai lầm của một cá nhân, nhưng tôi tin rằng nó có thể tiết lộ các thực hành nội bộ."

Danh sách các tệp tin bị lộ trong kho lưu trữ Private CISA

Một trong các tệp tin bị lộ có tiêu đề "importantAWStokens", bao gồm thông tin xác thực quản trị cho ba máy chủ Amazon AWS GovCloud. Một tệp khác bị lộ trên kho lưu trữ GitHub công khai này là "AWS-Workspace-Firefox-Passwords.csv", liệt kê tên người dùng và mật khẩu dạng văn bản thuần cho hàng chục hệ thống nội bộ của CISA. Theo Philippe Caturegli, những hệ thống này bao gồm một hệ thống có tên "LZ-DSO", có vẻ là viết tắt của "Landing Zone DevSecOps" — môi trường phát triển phần mềm an toàn của cơ quan.

Philippe Caturegli, người sáng lập công ty tư vấn bảo mật Seralys, cho biết ông đã kiểm tra các khóa AWS chỉ để xem liệu chúng có còn hiệu lực hay không và để xác định các hệ thống nội bộ mà các tài khoản bị lộ có thể truy cập được. Caturegli nhận định rằng tài khoản GitHub đã lộ bí mật của CISA thể hiện một mô hình phù hợp với một cá nhân sử dụng kho lưu trữ như một sổ nháp (scratchpad) hoặc cơ chế đồng bộ hóa thay vì một kho lưu trữ dự án được quản lý kỹ lưỡng.

"Việc sử dụng cả địa chỉ email liên kết với CISA và địa chỉ email cá nhân cho thấy kho lưu trữ này có thể đã được sử dụng trên các môi trường được cấu hình khác nhau," Caturegli quan sát. "Dữ liệu siêu dữ liệu (metadata) Git hiện có không chứng minh được điểm cuối hoặc thiết bị nào đã được sử dụng."

Caturegli cho biết ông đã xác minh rằng thông tin xác thực bị lộ có thể xác thực vào ba tài khoản AWS GovCloud ở mức quyền hạn cao. Ông nói rằng kho lưu trữ cũng bao gồm thông tin xác thực dạng văn bản thuần đối với "artifactory" nội bộ của CISA — về cơ bản là một kho lưu trữ tất cả các gói mã nguồn mà họ sử dụng để xây dựng phần mềm — và điều này sẽ là một mục tiêu hấp dẫn cho các kẻ tấn công độc hại đang tìm cách duy trì chỗ đứng bền vững trong hệ thống của CISA.

"Đó sẽ là một vị trí lý tưởng để di chuyển ngang (move laterally)," ông nói. "Chèn cửa sau (backdoor) vào một số gói phần mềm, và mỗi khi họ xây dựng cái gì đó mới, họ sẽ triển khai cửa sau của bạn khắp nơi."

Trả lời các câu hỏi, một phát ngôn viên của CISA cho biết cơ quan này đã biết về sự việc lộ thông tin được báo cáo và đang tiếp tục điều tra tình hình.

"Hiện tại, không có dấu hiệu cho thấy bất kỳ dữ liệu nhạy cảm nào bị xâm phạm do sự cố này," phát ngôn viên của CISA viết. "Mặc dù chúng tôi yêu cầu các thành viên trong đội ngũ phải tuân thủ các tiêu chuẩn cao nhất về tính toàn vẹn và nhận thức vận hành, chúng tôi đang nỗ lực đảm bảo các biện pháp bảo vệ bổ sung được thực hiện để ngăn chặn các sự cố trong tương lai."

Một cuộc xem xét tài khoản GitHub và các mật khẩu bị lộ cho thấy kho lưu trữ "Private CISA" được duy trì bởi một nhân viên của Nightwing, một nhà thầu chính phủ có trụ sở tại Dulles, Virginia. Nightwing từ chối bình luận và yêu cầu chuyển các câu hỏi cho CISA.

CISA chưa phản hồi các câu hỏi về thời gian có thể xảy ra việc lộ dữ liệu, nhưng Caturegli cho biết kho lưu trữ Private CISA được tạo vào ngày 13 tháng 11 năm 2025. Tài khoản GitHub của nhà thầu này được tạo từ tháng 9 năm 2018.

Tài khoản GitHub bao gồm kho lưu trữ Private CISA đã bị đưa ngoại tuyến ngay sau khi cả KrebsOnSecurity và Seralys thông báo cho CISA về việc lộ thông tin. Tuy nhiên, Caturegli cho biết các khóa AWS bị lộ một cách khó hiểu vẫn tiếp tục giữ hiệu lực thêm 48 giờ nữa.

Hiện tại, CISA đang hoạt động với chỉ một phần ngân sách và nhân sự bình thường. Cơ quan này đã mất gần một phần ba lực lượng lao động kể từ đầu nhiệm kỳ tổng thống Trump thứ hai, dẫn đến một loạt các trường hợp nghỉ hưu sớm, thỏa thuận mua lại và từ chức trên các bộ phận khác nhau của cơ quan.

Kho lưu trữ Private CISA đã bị xóa cho thấy nhà thầu này cũng đã sử dụng các mật khẩu dễ đoán cho một số tài nguyên nội bộ; ví dụ, nhiều thông tin xác thực sử dụng mật khẩu bao gồm tên của từng nền tảng theo sau là năm hiện tại. Caturegli cho rằng các thực hành như vậy sẽ tạo ra mối đe dọa bảo mật nghiêm trọng đối với bất kỳ tổ chức nào, ngay cả khi những thông tin xác thực đó không bao giờ bị lộ ra bên ngoài, vì các tác nhân đe dọa thường sử dụng các khóa chính bị lộ trên mạng nội bộ để mở rộng phạm vi tiếp cận sau khi thiết lập quyền truy cập ban đầu vào hệ thống mục tiêu.

"Tôi nghi ngờ những gì đã xảy ra là [nhà thầu CISA] đã sử dụng GitHub này để đồng bộ hóa tệp tin giữa máy tính làm việc và máy tính ở nhà, vì ông ấy thường xuyên commit (đẩy mã) lên kho lưu trữ này kể từ tháng 11 năm 2025," Caturegli nói. "Đây sẽ là một vụ rò rỉ gây xấu hổ đối với bất kỳ công ty nào, nhưng trong trường hợp này thì nghiêm trọng hơn nhiều vì đó là CISA."