A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) estava deixando as chaves digitais de seus arquivos de armazenamento em nuvem abertas, em formato de texto simples, por um período de tempo desconhecido; de acordo com um relatório da Krebs in Security. O problema foi finalmente resolvido no fim de semana, diz o relatório.
Certamente a informação secreta está enterrada em alguma pasta escura com um nome inescrutável.Eu ouço você dizer. O repositório é denominado “Private-CISA”.
Mas eles não estavam de forma alguma satisfeitos com a sua sensibilidade; objeções O conteúdo incluía senhas, chaves e símbolos — e as senhas eram texto simples em um arquivo .CSV.
A CISA relatou que Krebs disse o seguinte:
“Atualmente, não há indicação de que quaisquer dados sensíveis tenham estado em risco como resultado deste incidente(…) embora exijamos aos membros da nossa equipa os mais elevados padrões de integridade e consciência operacional, estamos a trabalhar para implementar outras salvaguardas para evitar ocorrências futuras.”
Desde que o repositório foi criado em novembro do ano passado, a duração da vulnerabilidade parece ter sido de cerca de seis meses, mas poderia ter sido muito mais curta de acordo com as informações que foram adicionadas quando foi adicionada.
Para refrescar sua memória, a CISA é um ramo relativamente novo da Segurança Interna que tinha um domínio .a um período geral difícil no Trumpet 2.0embora, ao sancioná-lo em lei em 2018, a parteira CISA de Trump realmente existisse durante a Administração 1.0, e desculpe pela contingência, mas Trump está marque a ocasião com oração Foi um excelente exemplo da poesia de Trump, incluindo trechos como estes;
“O espaço cibernético está evoluindo – e evoluindo, e infelizmente, mais rápido do que muitas pessoas querem falar. Mas o espaço é uma batalha. Assim, à medida que o espaço cibernético evolui, esta nova agência garantirá que enfrentemos uma gama completa de ameaças de estados, criminosos cibernéticos e outros atores maliciosos, dos quais existem muitos.”
Inconsistentemente verdade, Presidente Mestre. Isso é espaço.
De qualquer forma, foi Trump informações iradas fornecidas pelos líderes da CISA durante o período entre as eleições de 2020 e 6 de janeiro de 2021, quando tinha a missão de anular os resultados eleitorais a seu favor. Ei nomeado diretor da CISAe quando voltou a ocupar o cargo, seu mímico foi Cisa das trevas. nenhum Ele só decidiu atuar como professor Foram confirmadas pelo Senado e Trump procurou recentemente cortar o financiamento da CISA.
Agora, para aumentar as preocupações da CISA, de acordo com uma interpretação do relatório de Krebs sobre o repositório, um funcionário que trabalhava para um empreiteiro do governo chamado Nightwing estava usando o Github para mover material de seu dispositivo de trabalho para seu dispositivo doméstico – como se estivesse enviando documentos para você por e-mail, mas de alguma forma ainda menos seguro do que isso.
Não sou especialista em segurança cibernética federal, mas isso de Krebs parece algo que nossos cidadãos do governo não querem que vaze;
“Um dos arquivos expostos, intitulado ‘importantAWStokens’, inclui documentos administrativos para os três servidores AWS GovCloud da Amazon. Outro arquivo exposto em um repositório público do GitHub – ‘AWS-Workspace-Firefox-Passwords.csv’ – incluía usuários e senhas apenas para o sistema Catureglis interno. ‘LZ-DSO’, que significa ‘DevSecOps Offload Zone’, o conhecido ambiente de desenvolvimento seguro da agência.
A fonte de Kreb para as informações deixadas na postagem foi Guillaume Valadon, do GitGuardian, uma empresa que verifica o GitHub em busca de segredos, sinalizando para seus negócios encontrarem situações como essa. Valadon disse que Krebs foi “o pior vazamento que já vi na minha vida”.
