CISA lộ kho GitHub công khai chứa mật khẩu, khóa riêng và token suốt 6 tháng

Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) vừa đối mặt với một sự cố khó xử khi một kho mã trên GitHub mang tên “Private-CISA” bị để ở trạng thái công khai trong khoảng 6 tháng. Bên trong kho này được cho là chứa hàng loạt thông tin nhạy cảm như mật khẩu dạng văn bản thuần (plain text, tức dữ liệu không được mã hóa), khóa riêng tư, token truy cập và nhiều “secret” khác. Đáng chú ý, tên tệp còn thể hiện rất rõ nội dung bên trong, chẳng hạn như “external-secret-repo-creds.yaml” hay “AWS-Workspace-Firefox-Passwords.csv”, khiến mức độ rủi ro càng trở nên nghiêm trọng.

Người phát hiện vụ việc là Guillaume Valadon, nhà nghiên cứu của GitGuardian, công ty chuyên theo dõi và phát hiện rò rỉ bí mật số trên các kho mã. Theo ông, chỉ cần kiểm tra nhanh là có thể nhận ra đây là một vụ lộ lọt đặc biệt nghiêm trọng: khoảng 844 MB dữ liệu liên quan đến hạ tầng vận hành thực tế (production infrastructure, tức hệ thống đang phục vụ hoạt động thật, không phải môi trường thử nghiệm) đã bị đặt công khai trên GitHub. Valadon cho biết ông báo cáo sự việc cho CISA vào ngày 14/5 và kho dữ liệu đã bị gỡ xuống sau đó một ngày.

Theo mô tả, kho GitHub này chứa nhiều loại thông tin có thể mở đường cho các cuộc tấn công mạng quy mô lớn. Trong đó có token của JFrog Artifactory, một nền tảng quản lý kho gói phần mềm và chuỗi cung ứng phần mềm; khóa đăng ký Azure, tức thông tin xác thực dùng để truy cập tài nguyên trên đám mây Microsoft; thông tin đăng nhập AWS, nền tảng điện toán đám mây của Amazon; các tệp manifest Kubernetes, là các tệp cấu hình mô tả cách triển khai ứng dụng trong môi trường container; tệp ứng dụng ArgoCD, công cụ tự động triển khai theo mô hình GitOps; mã hạ tầng Terraform, phần mềm cho phép định nghĩa và quản lý hạ tầng bằng mã; token truy cập cá nhân GitHub; cùng chứng chỉ SAML của Entra ID, công nghệ dùng cho đăng nhập một lần và xác thực danh tính doanh nghiệp trên nền tảng nhận diện của Microsoft.

Valadon mô tả kho dữ liệu này như một “danh mục các thực hành không an toàn”. Không chỉ có mật khẩu lưu ở dạng văn bản thuần, kho còn chứa các bản sao lưu được đưa thẳng vào Git, hệ thống quản lý phiên bản vốn không phù hợp để lưu dữ liệu bí mật. Nghiêm trọng hơn, trong kho còn xuất hiện cả hướng dẫn rõ ràng về cách tắt tính năng secret scanning của GitHub. Đây là cơ chế tự động quét để phát hiện khóa API, token, mật khẩu và các thông tin nhạy cảm trước khi chúng bị phát tán rộng rãi. Việc vô hiệu hóa lớp bảo vệ này cho thấy vấn đề không chỉ nằm ở một sai sót cá nhân, mà có thể phản ánh lỗ hổng trong quy trình vận hành.

GitGuardian cho biết hiện chưa có bằng chứng cho thấy các thông tin bị lộ đã bị kẻ xấu sử dụng. Tuy nhiên, theo Valadon, từng nhóm thông tin trong kho đều có thể mở ra một “đường tấn công” riêng. Khi ghép lại, chúng cho phép tin tặc thực hiện từ các cuộc tấn công phá hoại, mã độc tống tiền (ransomware, loại phần mềm độc hại mã hóa dữ liệu để đòi tiền chuộc) cho tới việc âm thầm cắm chốt lâu dài trong chuỗi xây dựng và triển khai phần mềm của CISA. Kịch bản cuối cùng đặc biệt đáng lo vì nó liên quan đến khả năng duy trì hiện diện bí mật trong hệ thống, từ đó theo dõi hoặc can thiệp vào quá trình phát hành phần mềm trong thời gian dài.

Một chi tiết khác làm giới an ninh mạng lo ngại là người thực hiện các lần đưa mã lên kho đã sử dụng lẫn lộn email nhà thầu do CISA cấp với email Yahoo cá nhân, đồng thời tạo kho bằng tài khoản GitHub cá nhân. Kiểu “trộn danh tính” này là cơn ác mộng đối với đội ngũ bảo mật, vì nó khiến việc kiểm soát quyền truy cập, truy vết trách nhiệm và áp chính sách an toàn trở nên khó khăn hơn nhiều. Trong môi trường doanh nghiệp và cơ quan nhà nước, việc tách bạch tài khoản cá nhân với tài khoản công vụ là nguyên tắc cơ bản để hạn chế rủi ro rò rỉ.

CISA xác nhận đã biết về báo cáo và đang điều tra, đồng thời cho biết hiện chưa có dấu hiệu cho thấy dữ liệu nhạy cảm bị xâm phạm do sự cố này. Dù vậy, vụ việc vẫn là đòn giáng mạnh vào hình ảnh của cơ quan được xem là tuyến đầu trong bảo vệ an ninh mạng quốc gia Mỹ. Sự cố xảy ra trong bối cảnh CISA đang chịu áp lực lớn về ngân sách, nhân sự và thiếu lãnh đạo chính thức trong thời gian dài. Việc một cơ quan đầu ngành lại để lộ kho chứa thông tin xác thực quan trọng trên nền tảng công khai như GitHub chắc chắn sẽ làm dấy lên tranh luận về kỷ luật vận hành, kiểm soát bí mật số và mức độ sẵn sàng của bộ máy an ninh mạng liên bang.

Điểm tích cực hiếm hoi là kho dữ liệu đã được gỡ xuống khá nhanh sau khi CISA nhận được cảnh báo. Valadon đánh giá đây là tốc độ xử lý ấn tượng so với nhiều vụ công bố có trách nhiệm khác, vốn thường mất nhiều thời gian hơn hoặc không được khắc phục triệt để. Tuy nhiên, điều đó không đồng nghĩa rủi ro đã biến mất. Dù kho này dường như chưa bị fork, tức chưa có bản sao công khai được tạo ra qua cơ chế chuẩn của GitHub, vẫn không thể loại trừ khả năng ai đó đã âm thầm tải toàn bộ dữ liệu về trước khi nó bị gỡ. Câu trả lời chính xác nhất có lẽ chỉ GitHub mới có thể xác định thông qua nhật ký truy cập nội bộ.