CISA พยายามควบคุมความเสียหายจากข้อมูลรั่วไหล

 (krebsonsecurity.com)
1 คะแนน โดย GN⁺ 5 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ผู้รับจ้างของ CISA อัปโหลดข้อมูลรับรองแบบข้อความล้วนของระบบภายในหลายสิบรายการไปยังโปรไฟล์ GitHub สาธารณะชื่อ “Private-CISA” และยังมีร่องรอยว่าปิดฟีเจอร์ป้องกันของ GitHub ไว้
  • CISA ยอมรับการรั่วไหล แต่ไม่ตอบว่าข้อมูลถูกเปิดเผยอยู่นานเท่าใด และรีโพซิทอรีถูกสร้างขึ้นในเดือนพฤศจิกายน 2025 โดยมีรูปแบบการใช้งานคล้าย scratchpad ส่วนตัว
  • สส. และ สว. เช่น Maggie Hassan และ Bennie Thompson ตั้งคำถามต่อมาตรการความปลอดภัยภายในของ CISA การกำกับดูแลผู้รับจ้าง และวัฒนธรรมด้านความปลอดภัย ในช่วงที่ภัยคุกคามต่อโครงสร้างพื้นฐานสำคัญเพิ่มสูงขึ้น
  • แม้ผ่านไปหนึ่งสัปดาห์หลังการแจ้งเตือนจาก GitGuardian การเปลี่ยนคีย์บางส่วนก็ยังดำเนินอยู่ และ Dylan Ayrey จาก TruffleHog ระบุว่า ณ วันที่ 20 พฤษภาคม RSA private key ยังใช้งานได้อยู่
  • ฟีดเหตุการณ์ GitHub สาธารณะสามารถถูกเฝ้าดูได้ทั้งโดยฝ่ายป้องกันและฝ่ายโจมตี ทำให้ยังมีความเสี่ยงว่าค่าความลับสำคัญที่ถูกเพิ่มเข้าไปในช่วงปลายเดือนเมษายน 2026 อาจถูกนำไปใช้ในทางที่ผิดแล้ว

การรั่วไหลของ CISA และคำถามจากสภาคองเกรส

  • ผู้รับจ้างของ CISA สร้างโปรไฟล์ GitHub สาธารณะชื่อ “Private-CISA” ขณะมีสิทธิ์ผู้ดูแลระบบบนแพลตฟอร์มพัฒนาโค้ดของหน่วยงาน และในนั้นมีข้อมูลรับรองแบบข้อความล้วนของระบบภายใน CISA หลายสิบรายการ
  • ใน commit log มีร่องรอยว่ามีการปิด ฟีเจอร์ป้องกันในตัวของ GitHub ที่ใช้ป้องกันไม่ให้เผยแพร่ข้อมูลรับรองสำคัญไปยังรีโพซิทอรีสาธารณะ
  • CISA ยอมรับการรั่วไหล แต่ไม่ตอบว่าข้อมูลถูกเปิดเผยอยู่นานเพียงใด
  • ผู้เชี่ยวชาญที่ตรวจสอบคลังเก็บ Private-CISA ที่หายไปแล้วเห็นว่ารีโพซิทอรีนี้ถูกสร้างครั้งแรกในเดือนพฤศจิกายน 2025 และมีรูปแบบการใช้งานที่ใกล้เคียงกับ scratchpad สำหรับงานส่วนตัวหรือเครื่องมือซิงก์ มากกว่าจะเป็นรีโพซิทอรีโครงการที่จัดระเบียบไว้ดี
  • CISA ระบุในแถลงการณ์เป็นลายลักษณ์อักษรว่า “ไม่มีสัญญาณว่าข้อมูลอ่อนไหวถูกละเมิดอันเป็นผลจากเหตุการณ์นี้”

ความกังวลเรื่องวัฒนธรรมความปลอดภัยที่สมาชิกสภาตั้งขึ้น

  • Sen. Maggie Hassan ระบุในจดหมายถึง Nick Andersen รักษาการผู้อำนวยการ CISA ลงวันที่ 19 พฤษภาคม ว่าความล้มเหลวด้านความปลอดภัยเช่นนี้จากหน่วยงานที่มีหน้าที่ช่วยป้องกันการละเมิดทางไซเบอร์ ก่อให้เกิดคำถามร้ายแรงอย่างยิ่ง
  • Hassan ชี้ว่าความกังวลต่อ นโยบายและขั้นตอนภายในของ CISA เพิ่มขึ้น ในช่วงที่สหรัฐฯ ยังคงเผชิญภัยคุกคามไซเบอร์ร้ายแรงต่อโครงสร้างพื้นฐานสำคัญ
  • เหตุการณ์นี้เกิดขึ้นท่ามกลางความปั่นป่วนครั้งใหญ่ภายใน CISA โดยหลังจากรัฐบาล Trump บังคับใช้การเกษียณก่อนกำหนด การซื้อออก และการลาออกในหลายหน่วยงาน CISA ก็สูญเสียบุคลากรมากกว่าหนึ่งในสามและผู้นำระดับสูงแทบทั้งหมด
  • Rep. Bennie Thompson ระบุในจดหมายลงวันที่ 19 พฤษภาคม ว่าเหตุการณ์นี้อาจสะท้อนวัฒนธรรมความปลอดภัยที่อ่อนแอลง หรือความสามารถที่ไม่เพียงพอของ CISA ในการบริหารจัดการการสนับสนุนจากผู้รับจ้าง
  • Thompson และผู้ร่วมลงนาม Rep. Delia Ramirez เห็นว่าในสถานการณ์ที่รัฐศัตรูอย่างจีน รัสเซีย และอิหร่าน พยายามเข้าถึงและคงอยู่ในเครือข่ายของรัฐบาลกลาง ไฟล์ในรีโพซิทอรี Private-CISA อาจให้ทั้งข้อมูล สิทธิ์การเข้าถึง และโรดแมป

การเพิกถอนข้อมูลรับรองที่ยังไม่จบสิ้น

  • แม้เวลาจะผ่านไปกว่าหนึ่งสัปดาห์นับจากที่บริษัทความปลอดภัย GitGuardian แจ้ง CISA ครั้งแรกเรื่องข้อมูลรั่วไหล CISA ก็ยังคงดำเนินการเพิกถอนและเปลี่ยนคีย์และค่าความลับที่เปิดเผยออกไปจำนวนมาก
  • Dylan Ayrey ผู้สร้าง TruffleHog ระบุว่า ณ วันที่ 20 พฤษภาคม RSA private key ที่ถูกเปิดเผยในรีโพซิทอรี Private-CISA ยังไม่ได้ถูกเพิกถอน
  • RSA private key นี้ให้สิทธิ์เข้าถึง GitHub app ที่เป็นของบัญชีองค์กรของ CISA และติดตั้งอยู่ใน GitHub organization ชื่อ CISA-IT โดยมีสิทธิ์เข้าถึงรีโพซิทอรีโค้ดทั้งหมดอย่างเต็มรูปแบบ
  • ตามคำกล่าวของ Ayrey ผู้โจมตีสามารถใช้คีย์นี้อ่านซอร์สโค้ดของทุกรีโพซิทอรีและรีโพซิทอรีส่วนตัวในองค์กร CISA-IT ลงทะเบียน malicious self-hosted runner เพื่อยึด CI/CD pipeline และเข้าถึงค่าความลับของรีโพซิทอรีได้
  • ผู้โจมตียังสามารถแก้ไขการตั้งค่าผู้ดูแลรีโพซิทอรี เช่น branch protection rules, webhooks และ deployment keys ได้ด้วย
  • หลัง KrebsOnSecurity แจ้ง CISA เรื่องการค้นพบของ Ayrey เมื่อวันที่ 20 พฤษภาคม ดูเหมือนว่า CISA จะเพิกถอน RSA private key ดังกล่าวแล้ว
  • Ayrey ระบุว่า CISA ยังไม่ได้เปลี่ยนข้อมูลรับรองที่รั่วไหลอื่น ๆ ซึ่งเชื่อมโยงกับเทคโนโลยีความปลอดภัยสำคัญที่ถูกใช้งานทั่วพอร์ตโฟลิโอเทคโนโลยีของหน่วยงาน
  • CISA ตอบว่า “เรากำลังดำเนินการและประสานงานเชิงรุกกับคู่เกี่ยวข้องและผู้ขายเพื่อให้แน่ใจว่าข้อมูลรับรองที่รั่วไหลซึ่งถูกระบุได้รับการเปลี่ยนและเพิกถอน และจะยังคงดำเนินมาตรการที่เหมาะสมเพื่อปกป้องความมั่นคงปลอดภัยของระบบต่อไป”

ความสองด้านของฟีดเหตุการณ์ GitHub สาธารณะ

  • Truffle Security เฝ้าติดตามคีย์ที่รั่วไหลบน GitHub และแพลตฟอร์มโค้ดอื่น ๆ และพยายามแจ้งบัญชีที่ได้รับผลกระทบเมื่อมีการเปิดเผยข้อมูลอ่อนไหว
  • GitHub มีฟีดแบบเรียลไทม์ที่รวม commit และประวัติการเปลี่ยนแปลงทั้งหมดของรีโพซิทอรีโค้ดสาธารณะ ซึ่งโครงสร้างนี้ทำให้สามารถตรวจจับการรั่วไหลได้
  • Ayrey ระบุว่าอาชญากรไซเบอร์ก็ติดตามฟีดสาธารณะนี้เช่นกัน และมักพุ่งเป้าไปที่ API key หรือ SSH key ที่ถูกโพสต์พลาดลงใน commit ของโค้ดอย่างรวดเร็ว
  • ในรีโพซิทอรี GitHub ของ Private-CISA มีข้อมูลรับรองแบบข้อความล้วนหลายสิบรายการสำหรับทรัพยากร CISA GovCloud ที่สำคัญ
  • Ayrey ระบุว่ามีโอกาสสูงที่ทั้งองค์กรอาชญากรรมไซเบอร์หรือรัฐศัตรูจากต่างประเทศจะเห็นการโพสต์ค่าความลับของ CISA เช่นกัน และการเปิดเผยที่ร้ายแรงที่สุดน่าจะเกิดขึ้นในช่วงปลายเดือนเมษายน 2026
  • ความเสี่ยงสำคัญยังคงอยู่ตรงที่ “ใครก็ตามที่เฝ้าดู GitHub events อาจมีข้อมูลนี้อยู่แล้ว”

ข้อจำกัดของการควบคุมทางเทคนิค

  • James Wilson จากพอดแคสต์ความปลอดภัย Risky Business เห็นว่าองค์กรที่ใช้ GitHub จัดการโครงการโค้ดสามารถตั้งนโยบายระดับบนเพื่อป้องกันไม่ให้พนักงานปิดฟีเจอร์ป้องกันการโพสต์ secret key และข้อมูลรับรองได้
  • ผู้ร่วมจัด Adam Boileau มองว่ายังไม่ชัดเจนว่าเทคโนโลยีใดจะสามารถหยุดพนักงานจากการเปิดบัญชี GitHub ส่วนตัวเพื่อเก็บข้อมูลอ่อนไหวและข้อมูลกรรมสิทธิ์ได้
  • Boileau จัดประเภทเหตุการณ์นี้ว่าเป็น ปัญหาของมนุษย์ ที่แก้ได้ยากด้วยการควบคุมทางเทคนิคเพียงอย่างเดียว
  • หากผู้รับจ้างใช้ GitHub เพื่อซิงก์เนื้อหาระหว่างอุปกรณ์ทำงานกับอุปกรณ์ส่วนตัว เหตุการณ์นี้ก็เผยให้เห็นข้อจำกัดว่าการกระทำที่อยู่นอกขอบเขตที่ CISA สามารถจัดการหรือมองเห็นได้นั้นยากจะป้องกัน
  • ในการอัปเดตบทความ มีการเพิ่มแถลงการณ์ของ CISA และแก้ไขข้อผิดพลาดเรื่องวันที่ โดย Truffle Security ระบุว่าค่าความลับที่อ่อนไหวที่สุดบางส่วนในรีโพซิทอรีถูกเพิ่มเข้ามาในช่วง ปลายเดือนเมษายน 2026 ไม่ใช่ปี 2025

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 5 시간 전
ความคิดเห็นจาก Hacker News

  • นี่เป็น ความผิดพลาดที่เหลือเชื่อมาก คำพูดที่ว่า “สอดคล้องกับรูปแบบการใช้รีโพเป็นสมุดจดงานส่วนตัวหรือวิธีซิงก์ มากกว่าจะเป็นรีโพโปรเจกต์ที่มีการจัดการ” นี่หมายความว่าอะไร? พื้นฐานที่สุดของ Git ก็ไม่ใช่ว่าอย่าใส่ข้อมูลรับรองลงไปหรือไง? ไม่เข้าใจเลยว่ามันสอดคล้องกับรูปแบบแบบไหน

    • คำนั้นไม่ได้มีไว้เพื่อปกป้องว่ามันเป็นวิธีทำงานที่ยอมรับกันหรือเป็นแนวปฏิบัติที่ดี
      การบอกว่า “แสดงรูปแบบที่สอดคล้องกับ ~” ก็แค่กำลังอธิบายว่ารีโพนี้ดูเหมือนถูกใช้งานอย่างไร กล่าวคือมันไม่ใช่ชุดซอร์สโค้ดภาครัฐสำหรับโปรเจกต์ภายใน และก็ไม่ใช่สัญญาณว่าตั้งใจให้เกิดการรั่วไหลของข้อมูลจำนวนมาก
    • มันสอดคล้องกับรูปแบบการใช้งานแบบไหนก็เขียนไว้ชัดอยู่แล้ว: ใช้มันเหมือน สมุดจดงานส่วนตัว แบบหนึ่ง
      คุณกำลังตีความประโยคนี้มากเกินกว่าที่มันเป็น แค่เขียนสิ่งที่สังเกตเห็นเท่านั้น
    • ไม่ใช่ความผิดพลาดเลยแม้แต่น้อย ผมมองว่ารัฐบาลสหรัฐ ถูกหน่วยข่าวกรองต่างชาติทะลวงจนหมดแล้ว และ “การเจาะระบบ” นี้ก็ตั้งใจทำอย่างสมบูรณ์
    • ถ้าได้ 1 ดอลลาร์ต่อทุก secret ที่ถูก commit ลง public repo ผมคงเกษียณได้แล้ว แน่นอนว่านั่นไม่ใช่ข้อแก้ตัว แต่การแกล้งทำเหมือนว่ารัฐบาลสหรัฐไม่ได้ประกอบขึ้นจากคนแบบเดียวกับพวกเราก็ค่อนข้างน่าขำ

  • ถ้ามี การควบคุมทางเทคนิค ที่มีความสามารถกว่านี้ ก็ควรจะป้องกันไม่ให้ผู้รับเหมาคนหนึ่งคัดลอกรหัสผ่านกลางปี 2025 ไปยังคอมพิวเตอร์ที่บ้านได้ และยิ่งไม่ควรปล่อยให้รหัสนั้นยังใช้ได้อยู่หลังจาก 5 วัน ไม่ต้องพูดถึง 30 วัน

    • เห็นด้วย จริง ๆ แล้วผมนึกว่ารัฐบาลใช้ สมาร์ตการ์ดและ HSM อย่างจริงจังกับทุกอย่างมานานแล้ว ไม่เข้าใจว่าทำไมถึงยังแจกข้อมูลรับรองที่ใครก็ขโมยออกมาได้ แทนที่จะแจกฮาร์ดแวร์ที่ดึงข้อมูลรับรองออกมาไม่ได้
      สำหรับบางองค์กร ค่าใช้จ่ายเพิ่มอาจเป็นปัญหา แต่ที่นี่ไม่น่าใช่ หรืออีกทางหนึ่ง นี่อาจเป็นอีกอาการของความเสื่อมที่เกิดขึ้นหลังจากพรรครีพับลิกันทำลายโครงการและมาตรฐานแบบนี้ ซึ่งเดิมเป็นงานที่ CISA ทำอยู่เมื่อปีก่อน ไม่ว่าอย่างไร เทคโนโลยีก็ช่วยลดเรื่องแบบนี้ได้ชัดเจน และมันไม่ใช่ภัยธรรมชาติที่เลี่ยงไม่ได้
    • ผมไม่ได้แตะข้อมูลลับระดับชาติ แต่ผมเข้าถึงข้อมูลที่อ่อนไหวหรือมีมูลค่าสำหรับลูกค้าได้ ผมไม่เข้าใจแนวคิดที่จะดาวน์โหลดอะไรลงอุปกรณ์ของตัวเองตรง ๆ เลย
      แม้แต่การดึงล็อกไฟล์แบบ "aws s3 cp s3://client/file - | less" ก็ยังไม่ค่อยดี ผมว่าทางที่ดีกว่ามากคือเปิดอินสแตนซ์ราคาถูกสักตัวแล้วดูข้อมูลจากใน VPC ของลูกค้าเลย

  • ถ้าคุณ ลดขนาดองค์กรผู้เชี่ยวชาญลง ก็ย่อมเห็นได้ชัดว่าความสามารถหลายอย่าง รวมถึงศักยภาพด้าน operational security จะลดลงด้วย
    ในปี 2020 Chris Krebs โต้แย้งข้อกล่าวหาเรื่องการขโมยการเลือกตั้ง ในปี 2025 Trump ได้ปลด Krebs และเพิกถอน security clearance ของเขา ทำให้ CISA อยู่ในสภาพไม่มีผู้อำนวยการ https://en.wikipedia.org/wiki/Chris_Krebs
    ในเดือนมีนาคม 2025 การลดคนเริ่มต้นขึ้น https://techcrunch.com/2025/03/11/doge-axes-cisa-red-team-st...
    แม้กระทั่งในปี 2026 ก็ยังไม่มีผู้อำนวยการ และหน่วยงานก็แทบจะทำงานแบบถังแตก https://techcrunch.com/2026/02/25/us-cybersecurity-agency-ci...
    แนวทางแบบนี้สอดคล้องกับการทำให้การป้องกันของประเทศอ่อนแอลงจากภายในโดยเจตนาและหว่านความโกลาหล

    • ถ้าศัตรูจากต่างชาติเป็นคนรับผิดชอบ เราจะสังเกตเห็นความต่างได้ไหม?
    • พูดตรง ๆ ว่านี่เข้ากับ ความไร้ความสามารถเชิงรุก และการจ้างงาน-ปลดคนตามความภักดีมากกว่า ผมยอมรับว่าคำถามว่าพวกคนโง่แบบนั้นไปได้อำนาจในการจ้างและไล่คนออกมาได้อย่างไร เป็นอีกเรื่องที่ซับซ้อนกว่า
    • Krebs ถูก ปลดในปี 2020 ไม่ใช่ปี 2025

  • CISA สูญเสียบุคลากรมากกว่าหนึ่งในสามและผู้นำระดับสูงเกือบทั้งหมด หลังจากรัฐบาล Trump ผลักดัน การเกษียณก่อนกำหนด, การซื้อใจให้ออก, และการลาออก ในหลายหน่วยงาน

  • ดูเหมือนว่าสมาชิกวุฒิสภาจะถามว่าเหตุใด CISA ถึง ลดความพยายามด้านความมั่นคงการเลือกตั้ง [1] ช่วงเวลาที่ Tulsi ลาออกในวันนี้ก็ดูประจวบเหมาะกับช่วงที่เรื่องนี้ถูกเปิดเผยอย่างแปลก ๆ
    [1]https://www.padilla.senate.gov/newsroom/press-releases/padil...

    • ผมไม่เข้าใจว่าวุฒิสมาชิกสหรัฐกำลังโวยวายอะไรกันอยู่ Trump พูดชัดมากแล้วตอนเสนอร่างงบประมาณว่าเขาต้องการตัดงบ CISA อย่างหนัก และยังสั่ง CISA โดยตรงให้ปิดสำนักงานความมั่นคงการเลือกตั้งด้วย
      นี่คือมีม “ใครฆ่า Hannibal” ถ้า Padilla กับ Warner ไม่รู้เรื่องนี้ งั้นพวกเขาเองก็ไร้ความสามารถเหมือนกัน โดยเฉพาะเมื่อปีที่แล้วพวกเขายังออกข่าวประชาสัมพันธ์เกี่ยวกับเรื่องนี้อยู่เลย:
      https://www.padilla.senate.gov/newsroom/news-coverage/cnn-tr...
      Padilla ทำไมถึงลืมไปว่าเรื่องนี้เกิดขึ้นได้อย่างไร?

  • มันทำให้นึกถึง NCTification ของขนส่งสาธารณะ ถ้าลดงบ ระดับการให้บริการก็ลดลง แล้วกระแสสาธารณะเชิงลบก็ตามมา
    ท้ายที่สุด เส้นทางแบบนี้อาจนำไปสู่การแปรรูปมากขึ้นผ่านผู้รับเหมาด้านความปลอดภัย

    • คนที่ทำข้อมูลรับรองรั่วก็คือ ผู้รับเหมาด้านความปลอดภัย นั่นเอง เพราะงั้นเราก็เหมือนมาถึงปลายทางสุดท้ายของการแปรรูปที่ขยายตัวแล้ว

  • จำได้ว่าเมื่อก่อนเคยมี แบบฟอร์ม SF-86 รั่ว 1 ล้านชุด แบบฟอร์มที่เราใส่ข้อมูลส่วนตัวอย่างมหาศาลเพื่อให้เขาตัดสินว่าเราน่าไว้วางใจพอจะให้ถือข้อมูลอ่อนไหวหรือไม่

    • นั่นไม่ใช่การรั่ว แต่เป็น การเจาะระบบ เป็นฝีมือหน่วยความมั่นคงแห่งรัฐของจีน
    • นั่นไม่ใช่ CISA แต่เป็น OPM ใช่ไหม?

  • สมาชิกสภาต้องการคำตอบ แต่ตัวเองกลับไม่เสนอคำตอบ แล้วใครจะคอยตรวจสอบผู้เฝ้าระวังกันแน่? การทุจริตของสมาชิกสภาเกิดขึ้นในวงกว้าง แต่ถ้ามีคีย์หลุดออกมา กลับต้องมีคนหัวหลุดอย่างนั้นหรือ? แม้แต่คนฉลาดมาก ๆ ก็ยังเผลอเปิดเผยคีย์กันบ่อย
    ไม่เคยรัน rm -rf * กันหรือ? ไม่เคยลบ production database ทิ้งหรือ? ไม่เคยปิดเครื่องผิดเซิร์ฟเวอร์หรือ? ทุกคนเคยทั้งนั้น

    • การเฝ้าระวังของพวกเขาไม่ได้มีไว้เพื่อ การดูแล แต่มีไว้เพื่อ การควบคุม มันเป็นปรปักษ์อย่างแนบเนียน และ “การดูแล” ก็เป็นแค่ข้ออ้าง ไม่ใช่ความจริง

  • ถ้าคนที่ควรเป็นผู้เชี่ยวชาญเหล่านี้ยังไม่สามารถปลอดภัยบนอินเทอร์เน็ตได้จริง ๆ ผมก็ไม่รู้แล้วว่าคนอื่นจะปลอดภัยบนอินเทอร์เน็ตได้อย่างไร

    • นี่คือ หลังยุค Doge และ Doge ก็ทำงานของตัวเองได้สำเร็จ น่าเศร้าที่คนอื่นอีกมากมายกลับพูดตามคำโกหกของ Doge แบบเป๊ะ ๆ

  • ประเด็นสำคัญจริง ๆ ไม่ใช่แค่ คีย์ AWS GovCloud ที่รั่ว แต่คือผู้รับเหมาได้ปิดการป้องกันการสแกน secret ของ GitHub แบบแมนนวลด้วย