CISA অ্যাডমিন Github – Slashdot-এ AWS GovCloud কীগুলি ফাঁস করেছে৷

একজন বেনামী পাঠক একটি KrebsOnSecurity রিপোর্ট উদ্ধৃত করেছেন: গত সপ্তাহান্ত পর্যন্ত, সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) এর একজন ঠিকাদার একটি পাবলিক গিটহাব রিপোজিটরি রক্ষণাবেক্ষণ করেছে যা বেশ কয়েকটি উচ্চ সুবিধাপ্রাপ্ত AWS গভক্লাউড অ্যাকাউন্ট এবং বিপুল সংখ্যক অভ্যন্তরীণ CISA সিস্টেমের শংসাপত্র প্রকাশ করেছে। নিরাপত্তা বিশেষজ্ঞরা বলেছেন যে জনসাধারণের ফাইলিংয়ে ফাইলগুলি অন্তর্ভুক্ত রয়েছে যেগুলি কীভাবে CISA অভ্যন্তরীণভাবে সফ্টওয়্যার তৈরি করে, পরীক্ষা করে এবং স্থাপন করে এবং সাম্প্রতিক ইতিহাসে সবচেয়ে মারাত্মক সরকারী ডেটা ফাঁসের একটি প্রতিনিধিত্ব করে। 15 মে, KrebsOnSecurity Guillaume Valadon-এর কাছ থেকে শুনেছে, নিরাপত্তা সংস্থা GitGuardian-এর একজন গবেষক। Valadon-এর কোম্পানী ক্রমাগত GitHub এবং অন্য কোথাও প্রকাশ্য গোপনীয়তার জন্য পাবলিক কোড রিপোজিটরি স্ক্যান করে, স্বয়ংক্রিয়ভাবে সংবেদনশীল ডেটার কোনো আপাত এক্সপোজারের আপত্তিকর অ্যাকাউন্টগুলিকে সতর্ক করে। ভ্যালাডন বলেছিলেন যে তার সাথে যোগাযোগ করা হয়েছিল কারণ এই ক্ষেত্রে মালিক সাড়া দেয়নি এবং উন্মোচিত তথ্য খুব সংবেদনশীল ছিল।

GitHub সংগ্রহস্থল Valadon পতাকাঙ্কিত ছিল “Private-CISA” এবং এতে ক্লাউড কী, টোকেন, প্লেইনটেক্সট পাসওয়ার্ড, লগ এবং অন্যান্য সংবেদনশীল CISA সম্পদ সহ প্রচুর সংখ্যক অভ্যন্তরীণ CISA/DHS শংসাপত্র এবং ফাইল রয়েছে। ভ্যালাডন বলেছেন যে উন্মুক্ত CISA শংসাপত্রগুলি দুর্বল সুরক্ষা স্বাস্থ্যবিধির একটি পাঠ্যপুস্তকের উদাহরণ উপস্থাপন করে, উল্লেখ করে যে আপত্তিকর গিটহাব অ্যাকাউন্টে কমিট লগগুলি দেখায় যে CISA অ্যাডমিনিস্ট্রেটর GitHub-এ ডিফল্ট সেটিং অক্ষম করেছে যা ব্যবহারকারীদের SSH কী বা পাবলিক কোড রিপোজিটরিতে অন্যান্য গোপনীয়তা প্রকাশ করতে বাধা দেয়। “একটি সিএসভিতে প্লেইন টেক্সটে সংরক্ষিত পাসওয়ার্ড, গিট ব্যাকআপ, গিটহাবের গোপন সনাক্তকরণ বৈশিষ্ট্যটি নিষ্ক্রিয় করার জন্য স্পষ্ট আদেশ,” ভ্যালাডন একটি ইমেলে লিখেছেন। “সত্যি বলতে, আমি বিষয়বস্তুটি আরও দেখার আগে আমি বিশ্বাস করেছিলাম যে এটি সব মিথ্যা ছিল। এটি সত্যিই আমার ক্যারিয়ারে সবচেয়ে খারাপ ফাঁসের সাক্ষী। এটি স্পষ্টতই একজন ব্যক্তির ভুল, তবে আমি বিশ্বাস করি এটি অভ্যন্তরীণ অনুশীলনগুলি প্রকাশ করতে পারে।” “বর্তমানে এমন কোন ইঙ্গিত নেই যে এই ঘটনার ফলে কোন সংবেদনশীল তথ্য আপোস করা হয়েছে,” একজন CISA মুখপাত্র লিখেছেন। “যদিও আমরা আমাদের দলের সদস্যদের সততা এবং অপারেশনাল সচেতনতার সর্বোচ্চ মান ধরে রাখি, আমরা ভবিষ্যতের ঘটনা রোধ করার জন্য অতিরিক্ত সুরক্ষা ব্যবস্থা প্রয়োগ করা নিশ্চিত করার জন্য কাজ করছি।”

CISA-এর এক্সপোজার সম্পর্কে অবহিত হওয়ার পরেই প্রশ্নযুক্ত GitHub অ্যাকাউন্টটি অফলাইনে নেওয়া হয়েছিল। যাইহোক, ক্যাচারগলির মতে, উন্মুক্ত AWS কীগুলি আরও 48 ঘন্টার জন্য বৈধ ছিল।

“আমার সন্দেহ যা ঘটেছে তা হল [the CISA contractor] তিনি একটি কাজের ল্যাপটপ এবং একটি হোম কম্পিউটারের মধ্যে ফাইলগুলি সিঙ্ক করার জন্য এই গিটহাব ব্যবহার করছিলেন, কারণ তিনি নভেম্বর 2025 থেকে এই সংগ্রহস্থলে নিয়মিত প্রতিশ্রুতিবদ্ধ ছিলেন,” ক্যাচারগলি বলেছিলেন৷ “এটি যে কোনও সংস্থার জন্য একটি বিব্রতকর ফাঁস হবে, তবে এটি এই ক্ষেত্রে আরও বেশি কারণ এটি CISA।”