Gegužę, kai tyrėjas aptiko viešai prieinamus CISA prisijungimo duomenis, paaiškėjo, kad agentūra neturi paruoštos reagavimo procedūros. Personalo komandai teko „skirti laiko kurti [veiksmų planą] pradinėse incidento stadijose", – rašoma agentūros ataskaitoje.
Radinys, pasiekęs agentūrą per žurnalistą
Gegužės 14-ąją bendrovės „GitGuardian" tyrėjas aptiko viešą „GitHub" saugyklą pavadinimu „Private-CISA". Joje – 844 MB atviro teksto slaptažodžių, AWS prieigos raktų ir „Entra ID" SAML sertifikatų, priklausančių JAV federalinei kibernetinio saugumo agentūrai. Duomenis įkėlė CISA rangovo darbuotojas.
Tyrėjas bandė susisiekti su rangovu, tačiau atsakymo nesulaukė. Tada jis kreipėsi į nepriklausomą žurnalistą Brianą Krebsą, o šis – tiesiai į CISA. Tik tuomet agentūra pašalino saugyklą ir ėmėsi keisti visus atvirus raktus.
CISA pripažino, kad saugumo tyrėjų kanalai pranešti apie incidentus „nebuvo aiškiai apibrėžti". Pranešimas pasiekė agentūrą per sudėtingą kelią: tyrėjas → rangovas (be atsakymo) → žurnalistas → CISA.
Plano nebuvo
Agentūros paskelbtoje pomirtinėje ataskaitoje rašoma, kad darbuotojai „turėjo skirti laiko kurti [veiksmų planą] pradinėse incidento stadijose". Kiek laiko dėl to užtruko atsakas – neatskleista. Atstovas spaudai į „TechCrunch" užklausą iš karto neatsakė.
CISA teigia, kad jokie klientų ar misijos duomenys incidento metu nebuvo atskleisti. Agentūra padėkojo tyrėjui ir žurnalistui už pagalbą.
Tai ne vienintelė spraga. CISA neturi nuolatinio direktoriaus nuo Donaldo Trumpo antrosios kadencijos pradžios 2025-ųjų sausį. Nuo to laiko agentūrą palietė etatų mažinimai, prastovos ir atleidimai, palietę maždaug trečdalį darbuotojų.
Raktų keitimas užtruko ilgiau nei tikėtasi – CISA tai aiškina sistemų sudėtingumu ir tarpusavio priklausomybėmis.
Ką agentūra keičia
Po incidento CISA numatė šešias korekcijas: griežtesnę viešųjų saugyklų kontrolę, sustiprintą kūrėjų paslapčių stebėseną, išankstinį raktų keitimo testavimą, skirtą reagavimo į nutekėjimus veiksmų planą, supaprastintus pranešimų kanalus tyrėjams ir griežtesnes kūrimo apsaugos priemones.
Pamoka platesnė nei viešos saugyklos – joks atviro teksto slaptažodis neturėtų būti įrašomas į versijų kontrolės sistemą, įskaitant privačias saugyklas.
„Tai ne klausimas 'ar', o 'kada'", – rašoma ataskaitoje. CISA tai išgyveno, užrašė ir paviešino.




