CISA ने हाल ही में एक बड़े डेटा लीक्स की पोस्ट‑मोर्टेम जारी की, जिसमें एक ठेकेदार ने सार्वजनिक GitHub रिपॉजिटरी में एWS GovCloud कुंजियों सहित कई संवेदनशील जानकारी उजागर की थी। विशेषज्ञों का मानना है कि इस घटना में दिखे अंतराल सुरक्षा टीमों को भविष्य में बेहतर प्रतिक्रिया के लिए सिखाते हैं।
मुख्य बिंदु (Key Takeaways)
- सार्वजनिक कोड रिपॉजिटरी की निरंतर निगरानी आवश्यक है।
- स्पष्ट और अलग‑अलग रिपोर्टिंग चैनल सुरक्षा घटनाओं की त्वरित प्रतिक्रिया को सक्षम बनाते हैं।
- की‑रोटेशन और रहस्य‑प्रबंधन को स्वचालित तथा नियमित किया जाना चाहिए।
संयुक्त राज्य अमेरिका की साइबरसुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (CISA) ने एक विस्तृत पोस्ट‑मोर्टेम प्रकाशित किया, जिसमें बताया गया कि कैसे एक ठेकेदार ने लगभग छह महीने तक सार्वजनिक GitHub रिपॉजिटरी “Private CISA” में 844 MB संवेदनशील डेटा—जिसमें AWS GovCloud सर्वर की प्रशासनिक कुंजियाँ और कई प्लेन‑टेक्स्ट पासवर्ड शामिल थे—उजागर कर दिया। यह सूचना पहली बार 15 मई 2026 को सुरक्षा फर्म GitGuardian द्वारा KrebsOnSecurity को दी गई।
घटना की पृष्ठभूमि
GitGuardian ने इस सार्वजनिक रिपॉजिटरी का पता लगाया और CISA को तत्काल सूचित करने का प्रयास किया। एजेंसी ने प्रारंभिक अलर्ट स्वीकार किया, लेकिन 48 घंटे से अधिक समय लगा AWS कुंजियों तथा अन्य रहस्यों को रद्द करने में। CISA ने इस देरी को अपने जटिल सिस्टम इन्फ्रास्ट्रक्चर और विभिन्न फेडरल‑उद्योग साझेदारियों के कारण बताया, जिससे कुंजी‑रोटेशन प्रक्रिया में अनपेक्षित विलंब हुआ।
रिपोर्टिंग चैनलों में खामी
पदस्थ प्रमुख सूचना अधिकारी प्रेस्टन वर्न्ट्ज़ और मुख्य सूचना सुरक्षा अधिकारी ब्रैड लिब्बे ने रिपोर्ट में बताया कि बाहरी शोधकर्ता को स्पष्ट, अलग‑अलग रिपोर्टिंग मार्ग नहीं मिले। परिणामस्वरूप, शोधकर्ता ने कई बार ई‑मेल, CISA के वैल्नरेबिलिटी डिस्क्लोजर प्लेटफ़ॉर्म, और अंततः एक पत्रकार के माध्यम से सूचना पहुंचाने की कोशिश की। यह असंगत प्रक्रिया लीक्स की पहचान और समाधान में देरी का मुख्य कारण बन गई।
सुधार के कदम और भविष्य की दिशा
CISA ने अब अपने रिपोर्टिंग चैनलों को सरल और तेज़ बनाने की प्रतिबद्धता जताई है, जिसमें security.txt फ़ाइल के अलावा कई प्रमुख स्थानों पर रिपोर्टिंग निर्देश प्रकाशित करना शामिल है। GitGuardian के शोधकर्ता गिलेर्म वैलाडोन ने बताया कि एजेंसी ने पहले नौ स्वचालित अलर्ट को नजरअंदाज किया था, जिससे एक‑दिन की घटना छह‑महीने की लीक में बदल गई। उन्होंने निरंतर स्कैनिंग, न केवल त्रैमासिक, बल्कि वास्तविक‑समय में, की आवश्यकता पर बल दिया।
भविष्य में लागू होने वाले उपाय
रिपोर्ट के अनुसार, CISA ने सभी रहस्यों को रोटेट किया, डेवलपर सीक्रेट्स के प्रबंधन के लिए एक कार्य‑योजना तैयार की और सार्वजनिक कोड रिपॉजिटरी की लगातार निगरानी को अनिवार्य किया। एजेंसी ने यह भी कहा कि उनका मौजूदा प्लेबुक क्लाउड‑आधारित सेवाओं जैसे GitHub के लिए पर्याप्त नहीं था, जिससे भविष्य में ऐसे प्लेबुक को विस्तृत करने की जरूरत है। अंततः, CISA ने अपने लॉगिंग सिस्टम और ज़ीरो‑ट्रस्ट सिद्धांतों के कारण यह साबित किया कि कोई ग्राहक या मिशन डेटा उजागर नहीं हुआ और लीकेज केवल एजेंसी के अंदर ही सीमित रहा।