Сюжет уровня дебильной комедии: агентство США по кибербезопасности, которое отвечает за защиту федеральных сетей, случайно засветило на GitHub собственные ключи и пароли.

CISA учит всех хранить пароли безопасно. А потом сама выкладывает их на GitHub 😳

Исследователи нашли публичный репозиторий с названием `Private-CISA`. Внутри - учётные данные для Amazon AWS GovCloud и файл `AWS-Workspace-Firefox-Passwords.csv`, где в открытом виде лежали логины и пароли к десяткам внутренних систем CISA и Министерства внутренней безопасности.

Самое абсурдное: по словам исследователей, GitHub Secret Scanning был вручную отключён. То есть защита, которая должна предупреждать о таких утечках, просто не работала.

Теперь в Сенате требуют закрытый брифинг от CISA. И понять их можно: когда агентство, которое раздаёт рекомендации по кибербезопасности всей стране, само выкладывает пароли в публичный репозиторий - это уже не инцидент, а диагноз процессам.

Главный урок простой: правительство США можно не взламывать через суперэксплойты.

Иногда достаточно просто открыть GitHub.

Кибербезопасность по-американски:

Источник https://t.me/linuxkalii/2029