Cơ quan an ninh mạng hàng đầu Mỹ vô tình để lộ mật khẩu và khóa bí mật trên GitHub

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã vô tình để lộ một kho lưu trữ GitHub mang tên “Private-CISA” chứa mật khẩu dạng văn bản thuần túy, khóa riêng tư, mã thông báo và các bí mật khác – với các tên tệp tin cực kỳ rõ ràng như “external-secret-repo-creds.yaml” và “AWS-Workspace-Firefox-Passwords.csv” – trong suốt sáu tháng.

Nghiên cứu viên bảo mật Guillaume Valadon từ GitGuardian, người vừa có một bài trình bày về việc rò rỉ bí mật trên Kubernetes, đã phát hiện ra kho lưu trữ công khai này vào ngày 14 tháng 5. Ông cho biết ông “nhanh chóng hiểu rằng vụ rò rỉ này rất nghiêm trọng và thời gian đang không còn nhiều”.

Việc một cơ quan quốc gia để lộ 844 MB tài liệu cơ sở hạ tầng sản xuất trên một kho lưu trữ GitHub công khai trong sáu tháng được coi là một trong những vụ rò rỉ bí mật nghiêm trọng nhất.

Một kho tàng bí mật bị lộ

Theo Valadon, người từng làm việc chín năm tại ANSSI (đơn vị tương đương của CISA tại Pháp), vụ rò rỉ bao gồm các mã thông báo cho JFrog Artifactory nội bộ của CISA, khóa registry Azure, thông tin xác thực AWS, tệp kê khai Kubernetes, tệp ứng dụng ArgoCD, mã cơ sở hạ tầng Terraform, mã thông báo truy cập cá nhân GitHub và chứng nhận SAML Entra ID.

GitGuardian đã báo cáo kho lưu trữ này cho CISA vào ngày 14 tháng 5, và cơ quan này đã gỡ bỏ nó vào ngày hôm sau.

Một phát ngôn viên của CISA cho biết cơ quan này đã biết về báo cáo và đang điều tra. “Hiện tại, không có dấu hiệu cho thấy bất kỳ dữ liệu nhạy cảm nào bị xâm phạm do sự cố này.”

“Danh sách” các thực hành không an toàn

Trong một bài đăng trên blog vào thứ Ba, Valadon cho biết ông ban đầu nghĩ rằng kho lưu trữ này là một trò đùa, given cách đặt tên thư mục (Backup-April-2026/, All Backups/, LZ-Artifactory/, Kubernetes-Important-Yaml-Files/, ENTRA ID - SAML Certificates/ ...), tên tệp (external-secret-repo-creds.yaml, CAWS GitHub Token.txt, Important AWS Tokens.txt, AWS-Workspace-Firefox-Passwords.csv, Kube-Config.txt ...), và nội dung của chúng (khóa riêng tư, mã thông báo GitHub cá nhân và chuyên nghiệp, bí mật AWS, ...) có vẻ quá tốt để trở thành sự thật.

Tuy nhiên, đó không phải là trò đùa. Valadon mô tả đây là một “danh mục các thực hành không an toàn”, bao gồm việc lưu trữ mật khẩu dưới dạng văn bản thuần túy, đẩy bản sao lưu (backup) lên Git, và thậm chí là một hướng dẫn “rõ ràng” cách vô hiệu hóa tính năng quét bí mật của GitHub.

Quy trình xử lý và rủi ro tiềm ẩn

Sau khi báo cáo ban đầu qua cổng thông tin CERT/CC và chỉ nhận được xác nhận tự động vào sáng ngày 15 tháng 5, Valadon đã cảnh báo nhà báo bảo mật Brian Krebs về các bí mật bị lộ công khai. Điều này dường như đã thúc đẩy quy trình của CISA. Đến 6 giờ tối EST hôm đó, kho lưu trữ đã bị gỡ bỏ.

Valadon cho biết ông ghi nhận CISA đã nhanh chóng xóa kho lưu trữ. “Hầu hết các tiết lộ có trách nhiệm của chúng tôi mất nhiều thời gian hơn nhiều, và nhiều trường hợp không bao giờ được khắc phục,” ông nói. “Quản lý để đưa kho lưu trữ ngoại tuyến trong một ngày là một công việc ấn tượng.”

Tuy nhiên, ông không biết liệu是否有 các bên khác có ý định kém thiện cảm hơn đã tìm thấy các bí mật này trước đó, mặc dù thực tế là kho lưu trữ chưa bao giờ được fork (dựa trên sự kiện công khai của GitHub) dường như cho thấy nó chưa được lưu hành rộng rãi trên web tối.

“Mỗi loại bí mật trong kho lưu trữ mở ra một đường dẫn tấn công cụ thể,” Valadon nói. “Khi xếp chồng lên nhau, chúng bao phủ toàn bộ phạm vi: từ các cuộc tấn công phá hoại và tống tiền ransomware đến sự tồn tại âm thầm, dài hạn trong đường dẫn xây dựng và triển khai của CISA. Kịch bản cuối cùng đó lo ngại nhất đối với tôi, và đó là lý do tôi đã leo thang qua mọi kênh chúng tôi có cho đến khi kho lưu trữ được đưa ngoại tuyến.”

Đáng chú ý, người commit đã sử dụng cả email nhà thầu do CISA cấp và email cá nhân Yahoo trên cùng các lần commit, đồng thời tạo kho lưu trữ bằng tài khoản GitHub cá nhân. “Mô hình nhận dạng hỗn hợp này là một trong những bề mặt khó bao phủ nhất cho các nhóm bảo mật, và là nơi xảy ra những vụ rò rỉ tồi tệ nhất,” Valadon kết luận.