Cơ quan an ninh mạng Mỹ CISA vô tình lộ hàng loạt mật khẩu và khóa đám mây lên web công khai

Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) vừa thoát một cuộc tấn công mạng lớn nhờ sự trung thực của một nhà nghiên cứu bảo mật. Tuy nhiên, sự việc này đã gây ra sự xấu hổ lớn khi cơ quan này lại là nơi chịu trách nhiệm chính về an ninh mạng cho mạng lưới liên bang của Mỹ.

Theo báo cáo đầu tiên từ nhà báo độc lập về an ninh mạng Brian Krebs, nhà nghiên cứu Guillaume Valadon từ GitGuardian đã phát hiện hàng loạt thông tin đăng nhập dạng văn bản thuần (plaintext) được liệt kê trong các bảng tính. Những dữ liệu này đã bị nhân viên của một nhà thầu hợp tác với CISA tải lên một kho lưu trữ GitHub công khai.

Thông tin đăng nhập bị lộ

Valadon cho biết Krebs biết rằng các thông tin đăng nhập bị lộ được sử dụng để truy cập vào các hệ thống thuộc về CISA và cơ quan mẹ của nó là Bộ An ninh Nội địa (DHS). Cụ thể, các dữ liệu này bao gồm mã truy cập (access tokens), khóa đám mây (cloud keys) và nhiều tệp tin nhạy cảm khác.

Để xác minh mức độ nghiêm trọng, Valadon đã thử nghiệm một số khóa và xác nhận rằng chúng vẫn còn hiệu lực. Sau đó, ông đã báo cáo sự cố cho Krebs thay vì liên hệ trực tiếp với nhà thầu duy trì môi trường GitHub, bởi vì các cảnh báo trước đó gửi cho họ không nhận được phản hồi.

Sự cố "bẽ mặt" đối với cơ quan an ninh hàng đầu

Sự cố bảo mật này đặc biệt gây xấu hổ cho CISA vì đây là cơ quan chính phủ chịu trách nhiệm về an ninh mạng trên toàn mạng lưới liên bang dân sự. Tổ chức này cũng thường xuyên đưa ra các lời khuyên về các thực hành bảo mật tốt nhất, trong đó bao gồm việc lưu trữ mật khẩu trong các trình quản lý mật khẩu được bảo mật thay vì trong các bảng tính không được bảo vệ.

Hiện vẫn chưa rõ liệu có ai khác ngoài Valadon đã phát hiện hoặc sử dụng các thông tin đăng nhập này hay không. Khi được TechCrunch liên hệ, một phát ngôn viên của CISA đã từ chối bình luận ngay lập tức hoặc xác nhận liệu cơ quan có bằng chứng nào về việc bị xâm nhập do sự lộ lọt này hay không. TechCrunch cũng đã hỏi xem liệu CISA đã thu hồi và thay thế các thông tin đăng nhập bị lộ sau sự việc này chưa, nhưng chưa nhận được câu trả lời cụ thể.

Trách nhiệm và bối cảnh nội bộ

Mặc dù sự cố được truy nguyên về lỗi của một nhân viên làm việc cho nhà thầu của CISA, nhưng CISA chịu trách nhiệm cuối cùng về bảo mật mạng lưới và hệ thống của mình, bao gồm cả các nhà thầu làm việc cho cơ quan.

Đáng chú ý, sự cố này xảy ra trong bối cảnh CISA đang không có giám đốc thường trực kể từ ngày 20 tháng 1 năm 2025, khi Giám đốc Jen Easterly từ chức trước khi chính quyền mới của Tổng thống Trump nhậm chức. Ngoài ra, CISA cũng đã mất khoảng một phần ba nhân sự do các đợt cắt giảm, cho nghỉ không lương và sa thải kể từ khi ông Trump nhậm chức.