"Cơ quan an ninh mạng số một của Mỹ vừa để lộ hàng loạt mật khẩu dạng plaintext và khóa đám mây trên GitHub công khai – một sai lầm bảo mật sơ đẳng từ chính cơ quan đi đầu chống lộ lọt dữ liệu."
Theo báo cáo của nhà báo độc lập Brian Krebs, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã vô tình đưa một file spreadsheet chứa mật khẩu dạng plaintext và khóa dịch vụ đám mây lên kho GitHub công khai. Đây là "cú vấp" ngớ ngẩn từ cơ quan vốn được giao nhiệm vụ bảo vệ an ninh mạng liên bang.
Lỗ hổng đến từ sự chủ quan
- Tệp tin bị lộ chứa *hàng chục mật khẩu dạng chữ thường* – không mã hóa, không hash – cùng các khóa API cho nhiều dịch vụ đám mây.
- Kho GitHub được đặt chế độ *public* trong nhiều ngày trước khi bị phát hiện.
- CISA xác nhận sự cố và đã gỡ bỏ file, nhưng bất kỳ ai có link cũng có thể đã tải về.
Hành động này đi ngược lại mọi nguyên tắc bảo mật cơ bản: mật khẩu không bao giờ được lưu dạng plaintext, và khóa API tuyệt đối không đưa lên repo công khai.
Hậu quả tiềm ẩn và bài học
- Kẻ tấn công có thể dùng số mật khẩu này để truy cập trái phép vào hệ thống nội bộ của CISA hoặc các cơ quan đối tác.
- Khóa đám mây lộ ra cho phép chiếm quyền kiểm soát tài nguyên điện toán, từ đó phát tán malware hoặc đánh cắp dữ liệu.
- Sự cố làm xói mòn lòng tin vào năng lực bảo mật của cơ quan đầu não an ninh mạng.
Đây là lời nhắc nhở rằng: ngay cả những tổ chức chuyên trách bảo mật cũng có thể mắc lỗi phòng thủ sơ đẳng nhất.
[Kết luận]
Vụ rò rỉ mật khẩu từ CISA là *case study kinh điển* về việc "thợ sửa ống nước vẫn bị ngập nhà". Sai sót này không chỉ gây nguy hiểm cho chính cơ quan đó, mà còn cho toàn bộ hệ thống liên bang Mỹ. Câu hỏi đặt ra: Nếu CISA còn không tuân thủ quy tắc bảo mật cơ bản, thì các tổ chức khác có thể học được gì từ vụ này?
0 Nhận xét