اطلاعات حساس CISA در یک مخزن کد عمومی GitHub افشا شد

انتشار ناخواسته اطلاعات حساس در یک مخزن کد عمومی GitHub متعلق به آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA)، بار دیگر نشان داد که حتی نهادهای تخصصی امنیت سایبری نیز می‌توانند قربانی ضعف در مدیریت اطلاعات محرمانه (Secrets) و فرآیندهای DevSecOps شوند. این رخداد که شامل رمزهای عبور ذخیره‌شده به‌صورت متن ساده (Plain-text)، توکن‌های احراز هویت و کلیدهای خصوصی بود، ضعف در مدیریت مخازن کد و حفاظت از اطلاعات حساس در زیرساخت‌های سازمانی را آشکار کرد.

افشای اطلاعات حساس در مخزن کد «Private-CISA»

بر اساس گزارشی که توسط «Guillaume Valadon» پژوهشگر شرکت GitGuardian منتشر شده است، یک مخن کد متعلق به CISA با نام کنایه‌آمیز «Private-CISA» از تاریخ 13 نوامبر 2025 به‌صورت عمومی در GitHub در دسترس بوده است. این مخزن کد حاوی حدود 844 مگابایت داده محرمانه شامل رمزهای عبور ذخیره‌شده به‌صورت متن ساده ، توکن‌های احراز هویت، کلیدهای خصوصی و سایر اطلاعات محرمانه بوده است.

Valadon اعلام کرد این مخزن کد ابتدا توسط سامانه مانیتورینگ عمومی GitGuardian شناسایی شد؛ سرویسی که به‌طور مداوم منابع عمومی مانند GitHub را از نظر افشای اطلاعات و داده‌های محرمانه رصد می‌کند.

به گفته او، محتوای این مخزن کد در نگاه اول آن‌قدر غیرمعمول و قابل‌توجه بوده که ابتدا احتمال جعلی بودن یا حتی تله فریب بودن (Honeypot) آن مطرح شده است؛ اما در نهایت بررسی‌های بیشتر تأیید کرد که این مخزن کد واقعی بوده و به سازمان CISA تعلق داشته است.

جزئیات فنی این رخداد

Valadon در بررسی این مخزن، دایرکتوری‌ها و فایل‌هایی را شناسایی کرد که نام آن‌ها به‌تنهایی زنگ خطر امنیتی محسوب می‌شد؛ از جمله:

• Important AWS Tokens.txt
• ENTRA ID – SAML Certificates

بررسی محتوای مخزن نشان داد که حاوی حجم گسترده‌ای از داده‌های محرمانه شامل موارد زیر بوده است:

• رمزهای عبور ذخیره‌شده به‌صورت متن ساده
• کلیدهای خصوصی
• توکن‌های دسترسی AWS
• داده‌های سامانه مدیریت هویت و دسترسی (IAM)
• حساب‌های کاربری و حساب‌های سرویس (Service Accounts)
• مسیرهای مرتبط با مدیریت اطلاعات حساس

بر اساس گزارش منتشرشده، بخشی از اعتبارنامه‌ها و توکن‌های افشاشده همچنان معتبر بوده‌اند؛ موضوعی که ریسک سوءاستفاده از این داده‌ها را افزایش می‌دهد.

علاوه بر داده‌های احراز هویت، اطلاعات فنی و عملیاتی زیر نیز در مخزن مشاهده شده است:

• لاگ‌های فرآیند ساخت در زنجیره توسعه و استقرار مداوم (CI/CD)
• مستندات فرآیند استقرار
• فایل‌های پیکربندی کوبرنتیز (Kubernetes)
• گردش‌کارهای (Workflows) GitHub Actions
• اسکریپت‌های خودکارسازی سازمانی GitHub

به گفته Valadon، این داده‌ها دیدی دقیق از زیرساخت ابری، فرآیندهای استقرار، ابزارهای زنجیره تأمین نرم‌افزار (Software Supply Chain) و متدهای عملیاتی داخلی CISA در اختیار مهاجمان قرار می‌داد.

در عمل، این سطح از اطلاعات حساس می‌توانست برای سناریوهایی مانند موارد زیر مورد سوءاستفاده قرار گیرد:

• طراحی حملات هدفمند
• افزایش سطح دسترسی (Privilege Escalation)
• حرکت جانبی در شبکه (Lateral Movement)
• سوءاستفاده از زیرساخت ابری

آیا اطلاعات حساس در اختیار مهاجمان قرار گرفته است؟

با توجه به اینکه ریپازیتوری به مدت 6 ماه آنلاین بوده است، مشخص نیست آیا این داده‌ها توسط مهاجمان مشاهده یا دانلود شده‌اند یا خیر. اگرچه هیچ فورکی (Fork) از این مخزن ثبت نشده، اما Valadon تأکید می‌کند که این موضوع لزوماً به‌معنای عدم دسترسی مهاجمان نیست؛ زیرا عملیات کلون (Clone) مخزن در فعالیت‌های عمومی GitHub نمایش داده نمی‌شود و احتمال دارد این اطلاعات حساس پیش از حذف توسط عوامل تهدید جمع‌آوری شده باشند.

واکنش سریع CISA به حذف مخزن

پس از اطلاع‌رسانی GitGuardian و کمک «Brian Krebs»، سازمان CISA در مدت حدود 24 ساعت مخزن کد را از دسترس خارج کرد. با این حال، حذف سریع مخزن نمی‌تواند به‌طور کامل ریسک ناشی از افشای اطلاعات حساس را از بین ببرد؛ چرا که تمام اعتبارنامه‌ها و توکن‌های افشاشده باید بلافاصله باطل و جایگزین شوند.

دور زدن مکانیزم‌های امنیتی GitHub و متدهای پرریسک توسعه

Valadon در تحلیل خود، مخزن CISA را نمونه‌ای آشکار از متدهای ناایمن توصیف می‌کند؛ اقداماتی که نشان می‌دهد مدیریت اطلاعات حساس و داده‌های احراز هویت در این پروژه با ضعف‌های جدی امنیتی همراه بوده است.

برخی از مهم‌ترین متدهای ناایمن مشاهده‌شده در این مخزن عبارتند از:

• ذخیره رمزهای عبور به‌صورت متن ساده
• ثبت فایل‌های پشتیبان در گیت
• مدیریت اطلاعات حساس داخل ریپازیتوری
• مستندسازی نحوه غیرفعال‌سازی قابلیت اسکن اطلاعات محرمانه گیت‌هاب (GitHub Secret Scanning)

بر اساس تحلیل GitGuardian، به‌نظر می‌رسد برخی کامیت‌ها به‌دلیل وجود اطلاعات محرمانه هاردکدشده توسط قابلیت Push Protection در GitHub مسدود شده بودند؛ قابلیتی که برای جلوگیری از ارسال کدهای حاوی اعتبارنامه‌ها طراحی شده است.

با این حال، به‌جای حذف اطلاعات محرمانه از کد و پاک‌سازی تاریخچه گیت، ظاهراً دستورالعملی برای غیرفعال کردن این کنترل امنیتی ثبت شده بود تا کامیت‌ها بدون خطا Push شوند.

این موضوع نشان می‌دهد مشکل اصلی، ناکارآمدی ابزارهای امنیتی نبوده، بلکه غیرفعال‌سازی کنترل‌های امنیتی نقش مهمی در بروز این رخداد داشته است.

در سازمان‌های پیشرفته، ابزارهایی مانند اسکن اطلاعات محرمانه گیت‌هاب یا سرویس Push Protection شرکت GitGuardian به‌عنوان کنترل‌های امنیتی الزامی (Non-negotiable Security Controls) شناخته می‌شوند و دور زدن آن‌ها تحت فشار زمانی و ددلاین‌های توسعه، اقدامی پرریسک و غیرقابل‌قبول محسوب می‌شود.

تأثیر محدودیت منابع بر امنیت سازمانی

این رخداد در شرایطی رخ داده که CISA طی سال‌های اخیر با کاهش قابل‌توجه بودجه و نیروی انسانی روبه‌رو بوده است.

طبق گزارش‌ها، CISA در سال‌های اخیر حدود یک‌سوم کارکنان خود را تعدیل کرده و هم‌زمان، کاخ سفید در بودجه پیشنهادی سال 2027 کاهش بیش از 700 میلیون دلاری بودجه این سازمان را مطرح کرده است.

هرچند تاکنون ارتباط مستقیمی میان این رخداد و کاهش منابع سازمانی تأیید نشده، اما محدودیت بودجه و کمبود نیروی انسانی می‌تواند توان سازمان‌ها را در زمینه مانیتورینگ زیرساخت، ممیزی مخازن کد، آموزش امنیتی و مدیریت اطلاعات حساس تحت تأثیر قرار دهد.

منابع