IT掲示板
IT掲示板海外技術情報を日本語でキャッチアップ
HN🔥 382
💬 158

CISAの管理者がAWS GovCloudのアクセスキーをGitHubに誤って公開

LelouBil
1日前

ディスカッション (11件)

1
epistasis
約23時間前

みんなあんまり気にしてないけど、OpenAIやAnthropic、あるいはOpenRouterに大量のシークレットを渡してるのは結構まずいと思う。リポジトリに.envやシークレットファイルを置いてて、コミットはしてないとしてもさ。LLMは平気でそのファイルを読み込んで、将来のChatGPTの学習データとして送っちゃうよ。警告もなしにね。だって環境変数がちゃんと設定されてるか確認したり、アプリのデータベースパスワードが設定されてるかチェックするのは、これまでは「まあ普通のこと」だったからさ。もう各組織はディスクやログのどこにシークレットがあるか監査してローテーションすべきだし、SOPSやVaultなんかを使って、必要な時以外はプレーンテキストで置かないように切り替えるべきだよ。

3
john_strinlai
約23時間前

「所有者が反応しなかったし、漏洩した情報が極めて機密性が高かったため連絡した」とValadonは言ってるね。CISA(の委託先)という立場を考えれば、認証情報をリークさせること自体がヤバいけど、指摘されても無視するって……マジでありえないよ。それにさ、さらに悪いことに「AWS-Workspace-Firefox-Passwords.csv」なんてファイルがあって、CISAの内部システム数十個分のユーザー名とパスワードが平文でリストアップされてたんだろ?CISAが弱体化してるのは理解するし同情もするけど、パスワードをまとめたCSVを、しかも弱いパスワードで置いておくなんて、弁解の余地のない無能さだよ。パスワードマネージャーを使うのにそんな予算はかからないだろうし。とにかく恥ずかしい限りだね。

4
exabrial
約22時間前

誰かさんが27個のトレーニングモジュールをやり直す必要がありそうだな。それで解決、解決。

5
dcrazy
約22時間前

本当に悲しいのは、連邦政府は何十年も前からスマートカードベースの認証(CAC)を導入してきたってこと。それなのに、パブリックインターネットのスタックがパスワードに依存しているからという理由で、政府のインフラまで同じ状況になってるんだ。

6
itintheory
約21時間前

これが6〜7ヶ月も続いていたなんて驚きだね。GitGuardianみたいな組織や、trufflehogとかを使ってる個人のリサーチャーなら、漏洩したキーなんて数日で見つけ出すと思ってたよ。もしかしてGitHubの急成長が関係してるのかな?スキャナーが追いついてないのかもね。

7
protastus
約20時間前

2026年にもなって、政府の認証情報をリポジトリに保存したままスキャナーで検知できないなんて、調査が必要だよ。プロの現場でこんなことをしてる奴らは正直怪しすぎる。もし自分が外国の諜報機関の人間でこれを見たら、まずはハニーポットじゃないか疑うね。それも、あまりに露骨すぎて面白みのないやつだ。

9
morpheuskafka
約20時間前

リポジトリ名が文字通り「Private-CISA」だったとはね。面白い実験ができそうだよ。(a) private/internal/etc が含まれるリポジトリ名を検索する、(b) リポジトリ名に出てくるはずのない政府機関や非テック系企業を検索する。全部クローンして、LLMで面白そうな情報をサクッとスキャンできそうだな。

あと、GitHubってAWSのクレデンシャルみたいな基本的なものに対する自動スキャナーを持ってないのかな?

10
nijave
約14時間前

皮肉なことに、AWSにはもっとセキュアなサービスがたくさんあるのに、そのAWSキーを使ってそれを利用すればよかったんだよ。

例えば、S3(理想はKMS付き)、Parameter Store(これも理想はKMS付き)、EBS、EFS、AWS Secrets Manager、あるいはファイルを直接暗号化するためにKMSを使うだけでもいい。

要はKMSをサポートしていて、サービスプリンシパルにキーへのアクセス権を与える必要がないAWSサービスなら何でもよかったってことだ。