Es posible que la agencia de ciberseguridad estadounidense CISA se haya librado de una brecha de seguridad importante gracias a un investigador de seguridad honesto que identificó credenciales expuestas públicamente que permitían el acceso a las nubes gubernamentales y a los sistemas internos de la agencia.
Como informó por primera vez el reportero de seguridad independiente Brian Krebs, el investigador de seguridad de GitGuardian, Guillaume Valadon, encontró expuesta una gran cantidad de credenciales de texto sin formato enumeradas en una hoja de cálculo. Estas credenciales fueron publicadas públicamente en un repositorio de GitHub por un empleado que trabaja para un contratista de CISA.
Valadon le dijo a Krebs que las credenciales comprometidas se utilizaron para acceder a sistemas pertenecientes a CISA y su agencia matriz, el Departamento de Seguridad Nacional. Valadon dijo que las credenciales incluían tokens de acceso, claves de nube y otros archivos confidenciales. Valadon le dijo a Krebs que había probado algunas de las claves y confirmó que eran válidas.
El contratista de CISA que mantenía el entorno GitHub informó la revocación a Krebs después de no responder a la alerta.
El error de seguridad es especialmente vergonzoso para CISA porque la agencia del gobierno de Estados Unidos es responsable de la ciberseguridad en las redes federales civiles. La organización también asesora sobre las mejores prácticas de ciberseguridad, como almacenar contraseñas en un administrador de contraseñas seguro en lugar de en una hoja de cálculo desprotegida.
No está claro si alguien además de Valadon encontró o utilizó esta credencial. En una declaración a TechCrunch, el portavoz de CISA, Marco Di Sandro, dijo que la agencia está «consciente de la divulgación reportada y continúa investigando la situación», y agregó: «No hay indicios de que datos confidenciales se hayan visto comprometidos como resultado de este incidente».
CISA no dijo si la agencia había visto evidencia de una infracción resultante de esta divulgación. TechCrunch preguntó si las autoridades habían revocado y reemplazado las credenciales expuestas después del incidente.
Aunque este incidente se remonta a empleados que trabajan para contratistas de CISA, CISA es en última instancia responsable de la seguridad de sus propias redes y sistemas, incluidos los de los contratistas que trabajan para CISA.
CISA no ha tenido un director permanente desde que la entonces directora de CISA, Jen Easterly, renunció el 20 de enero de 2025, antes de la toma de posesión de la próxima administración Trump. CISA también ha perdido alrededor de un tercio de su fuerza laboral debido a despidos, licencias y despidos desde que el presidente Trump asumió el cargo.
Actualizado con comentarios de CISA.
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
Source link
