CISA nỗ lực ứng phó vụ rò rỉ dữ liệu

 (krebsonsecurity.com)
1 điểm bởi GN⁺ 5 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Một nhà thầu của CISA đã đăng hàng chục thông tin xác thực dạng văn bản thuần của các hệ thống nội bộ lên hồ sơ GitHub công khai có tên “Private-CISA”, đồng thời để lại dấu vết cho thấy đã tắt các tính năng bảo vệ của GitHub
  • CISA thừa nhận vụ rò rỉ nhưng không trả lời dữ liệu đã bị lộ trong bao lâu; kho lưu trữ được tạo vào tháng 11/2025 và cho thấy mô hình sử dụng giống một scratchpad cá nhân
  • Các nghị sĩ như Maggie Hassan và Bennie Thompson đặt câu hỏi về chính sách bảo mật nội bộ, cách quản lý nhà thầu và văn hóa an ninh của CISA trong thời điểm rủi ro với hạ tầng trọng yếu đang gia tăng
  • Một tuần sau khi GitGuardian thông báo, việc thay khóa vẫn còn đang diễn ra; Dylan Ayrey của TruffleHog cho biết đến ngày 20/5 một khóa riêng RSA vẫn còn hiệu lực
  • Luồng sự kiện GitHub công khai có thể bị cả bên phòng thủ lẫn kẻ tấn công theo dõi, nên vẫn tồn tại nguy cơ các bí mật nhạy cảm được thêm vào cuối tháng 4/2026 đã bị khai thác

Vụ rò rỉ của CISA và chất vấn từ Quốc hội

  • Một nhà thầu của CISA đã tạo hồ sơ GitHub công khai mang tên “Private-CISA” trong khi đang có quyền quản trị nền tảng phát triển mã của cơ quan, và trong đó chứa hàng chục thông tin xác thực dạng văn bản thuần của các hệ thống nội bộ CISA
  • Nhật ký commit cho thấy dấu vết đã vô hiệu hóa tính năng bảo vệ tích hợp của GitHub vốn dùng để ngăn việc đăng thông tin xác thực nhạy cảm lên kho công khai
  • CISA thừa nhận vụ rò rỉ nhưng không trả lời dữ liệu đã bị phơi lộ trong bao lâu
  • Các chuyên gia xem xét bản lưu trữ của Private-CISA đã biến mất nhận định rằng kho này ban đầu được tạo vào tháng 11/2025 và có cách dùng giống một scratchpad cá nhân hoặc công cụ đồng bộ hơn là một kho dự án được tổ chức bài bản
  • Trong tuyên bố bằng văn bản, CISA cho biết “không có dấu hiệu cho thấy dữ liệu nhạy cảm đã bị xâm phạm do sự cố này”

Lo ngại về văn hóa bảo mật do các nghị sĩ nêu ra

  • Thượng nghị sĩ Maggie Hassan trong lá thư ngày 19/5 gửi Quyền Giám đốc CISA Nick Andersen cho biết vụ thất bại bảo mật như vậy tại một cơ quan có nhiệm vụ giúp ngăn chặn các vụ xâm nhập mạng làm dấy lên những câu hỏi nghiêm trọng
  • Hassan chỉ ra rằng lo ngại về các chính sách và quy trình nội bộ của CISA đang gia tăng trong bối cảnh các mối đe dọa mạng nghiêm trọng nhằm vào hạ tầng trọng yếu của Mỹ vẫn tiếp diễn
  • Sự cố này xảy ra giữa lúc CISA đang rơi vào hỗn loạn nội bộ diện rộng, sau khi chính quyền Trump buộc nhiều bộ phận phải nghỉ hưu sớm, nhận buyout hoặc từ chức, khiến CISA mất hơn một phần ba nhân sự và gần như toàn bộ lãnh đạo cấp cao
  • Dân biểu Bennie Thompson trong lá thư ngày 19/5 cho biết sự cố này có thể phản ánh một văn hóa bảo mật suy yếu hoặc năng lực quản lý hỗ trợ từ nhà thầu của CISA còn thiếu sót
  • Thompson và đồng ký tên Dân biểu Delia Ramirez cho rằng trong bối cảnh các thế lực thù địch như Trung Quốc, Nga và Iran tìm cách giành quyền truy cập và duy trì hiện diện trong các mạng liên bang, các tệp trong kho Private-CISA có thể đã cung cấp thông tin, quyền truy cập và lộ trình cho họ

Việc vô hiệu hóa thông tin xác thực vẫn chưa kết thúc

  • Hơn một tuần sau khi công ty bảo mật GitGuardian lần đầu cảnh báo CISA về vụ rò rỉ dữ liệu, CISA vẫn đang tiếp tục vô hiệu hóa và thay thế nhiều khóa và bí mật đã bị lộ
  • Dylan Ayrey, người tạo ra TruffleHog, cho biết tính đến ngày 20/5, khóa riêng RSA bị lộ trong kho Private-CISA vẫn chưa bị vô hiệu hóa
  • Khóa riêng RSA này cấp quyền truy cập vào một ứng dụng GitHub do tài khoản doanh nghiệp của CISA sở hữu và được cài trong tổ chức GitHub CISA-IT, với quyền truy cập đầy đủ vào mọi kho mã
  • Theo Ayrey, kẻ tấn công có thể dùng khóa này để đọc mã nguồn của mọi kho trong tổ chức CISA-IT cùng các kho riêng tư, đăng ký runner tự lưu trữ độc hại để chiếm quyền pipeline CI/CD và truy cập các bí mật của kho
  • Kẻ tấn công cũng có thể sửa các thiết lập quản trị kho như quy tắc bảo vệ nhánh, webhook và khóa triển khai
  • Sau khi KrebsOnSecurity thông báo cho CISA vào ngày 20/5 về phát hiện của Ayrey, CISA dường như đã vô hiệu hóa khóa riêng RSA đó
  • Ayrey cho biết CISA vẫn chưa thay thế các thông tin xác thực bị lộ khác có liên quan đến những công nghệ bảo mật cốt lõi được triển khai trên toàn bộ danh mục công nghệ của cơ quan
  • CISA phản hồi rằng họ “đang tích cực làm việc và phối hợp với các bên liên quan cùng nhà cung cấp để bảo đảm các thông tin xác thực bị lộ đã được xác định sẽ được thay thế và vô hiệu hóa, đồng thời sẽ tiếp tục thực hiện các biện pháp thích hợp để bảo vệ an ninh hệ thống”

Hai mặt của luồng sự kiện GitHub công khai

  • Truffle Security giám sát các khóa bị lộ trên GitHub và nhiều nền tảng mã khác, đồng thời tìm cách cảnh báo các tài khoản bị ảnh hưởng về việc dữ liệu nhạy cảm bị phơi lộ
  • GitHub cung cấp một luồng thời gian thực bao gồm mọi commit và thay đổi trong các kho mã công khai, và chính cấu trúc này giúp việc phát hiện lộ lọt trở nên khả thi
  • Ayrey cho biết tội phạm mạng cũng theo dõi luồng công khai này và nhanh chóng nhắm vào các khóa API hoặc khóa SSH vô tình bị đăng trong commit mã
  • Trong kho GitHub Private-CISA, hàng chục thông tin xác thực dạng văn bản thuần cho các tài nguyên GovCloud quan trọng của CISA đã bị phơi lộ
  • Ayrey cho biết rất có thể các tổ chức tội phạm mạng hoặc các thế lực thù địch nước ngoài cũng đã nhìn thấy việc đăng các bí mật của CISA, và vụ lộ nghiêm trọng nhất dường như xảy ra vào cuối tháng 4/2026
  • Rủi ro cốt lõi còn lại là “bất kỳ ai theo dõi các sự kiện GitHub đều có thể đã có thông tin này”

Giới hạn của các biện pháp kiểm soát kỹ thuật

  • James Wilson của podcast bảo mật Risky Business cho rằng các tổ chức dùng GitHub để quản lý dự án mã có thể đặt chính sách cấp cao hơn để ngăn nhân viên tắt tính năng chống đăng khóa bí mật và thông tin xác thực
  • Đồng dẫn chương trình Adam Boileau cho rằng chưa rõ công nghệ nào có thể ngăn nhân viên mở tài khoản GitHub cá nhân để lưu trữ thông tin nhạy cảm và độc quyền
  • Boileau nhận định sự cố lần này là một vấn đề con người khó có thể giải quyết chỉ bằng các biện pháp kiểm soát kỹ thuật
  • Nếu nhà thầu đã dùng GitHub để đồng bộ nội dung giữa thiết bị công việc và thiết bị cá nhân, vụ việc cho thấy giới hạn trong việc ngăn chặn những hành vi nằm ngoài phạm vi mà CISA có thể quản lý hoặc quan sát
  • Bản cập nhật bài viết đã bổ sung tuyên bố của CISA, đồng thời sửa lỗi ngày tháng khi Truffle Security cho biết một số bí mật nhạy cảm nhất của kho được thêm vào cuối tháng 4/2026 chứ không phải năm 2025

Bài viết liên quan

1 bình luận

 
GN⁺ 5 giờ trước
Ý kiến trên Hacker News

  • Đây thật sự là một sai lầm hết sức vô lý. Câu “phù hợp với kiểu dùng kho lưu trữ như sổ ghi chú công việc cá nhân hoặc phương tiện đồng bộ hơn là kho dự án được quản lý” nghe kiểu gì vậy, trong khi điều cơ bản nhất của Git là không đưa thông tin xác thực vào? Tôi thật sự không hiểu là nó “phù hợp với kiểu mẫu” nào

    • Cách diễn đạt đó không phải để biện hộ rằng đây là một quy trình làm việc đã được thiết lập hay một thông lệ tốt
      Nói rằng “cho thấy một kiểu mẫu phù hợp với ~” chỉ đơn giản là mô tả kho này trông như đã được sử dụng ra sao. Tức là không phải một gói mã nguồn chính phủ cho dự án nội bộ, cũng không có dấu hiệu cho thấy đây là hành vi cố ý làm rò rỉ dữ liệu quy mô lớn
    • Kiểu sử dụng đó phù hợp với mẫu nào thì đã được viết khá rõ rồi: nó được dùng như một dạng sổ ghi chú công việc cá nhân
      Bạn đang gán cho câu đó nhiều ý nghĩa hơn những gì nó thực sự có. Nó chỉ ghi lại điều đã được quan sát
    • Chẳng phải sai lầm gì cả. Tôi cho rằng chính phủ Mỹ đã bị các cơ quan tình báo nước ngoài xâm nhập hoàn toàn, và vụ “xâm phạm” này là hoàn toàn có chủ đích
    • Nếu tôi được trả 1 đô cho mỗi bí mật từng được commit lên kho công khai thì có lẽ tôi đã nghỉ hưu rồi. Tất nhiên điều đó không thể là lời bào chữa. Cũng khá buồn cười khi giả vờ như chính phủ Mỹ không rốt cuộc cũng được tạo nên từ những con người giống chúng ta

  • Nếu có các biện pháp kiểm soát kỹ thuật năng lực hơn, thì ngay từ đầu đã phải ngăn được tình huống một nhà thầu bất kỳ có thể sao chép mật khẩu giữa năm 2025 về máy tính ở nhà, và mật khẩu đó vẫn còn hoạt động không chỉ sau 30 ngày mà thậm chí sau 5 ngày

    • Đúng vậy. Thật ra tôi cứ nghĩ từ lâu chính phủ đã khá nghiêm túc trong việc dùng thẻ thông minh và HSM cho mọi thứ. Tôi không hiểu vì sao họ lại cấp thông tin xác thực có thể bị trích xuất cho bất kỳ ai, trong khi hoàn toàn có thể phát phần cứng mà từ đó không thể lấy thông tin xác thực ra được
      Ở một số tổ chức thì chi phí bổ sung có thể là vấn đề, nhưng ở đây thì không phải. Hoặc cũng có thể đây là thêm một triệu chứng của sự mục ruỗng sau khi đảng Cộng hòa phá hỏng các dự án và tiêu chuẩn kiểu này vốn là việc CISA từng làm vào năm ngoái. Dù sao thì công nghệ rõ ràng có thể giảm bớt chuyện như thế này, chứ đây không phải kiểu thiên tai bất khả kháng
    • Tôi không xử lý bí mật quốc gia, nhưng có truy cập vào dữ liệu nhạy cảm hoặc có giá trị của khách hàng. Tôi hoàn toàn không hiểu nổi ý tưởng tự tải thứ gì đó trực tiếp về thiết bị của mình
      Ngay cả việc kéo tệp log kiểu "aws s3 cp s3://client/file - | less" cũng không hay ho gì. Tôi cho rằng tốt hơn nhiều là bật một instance giá rẻ rồi xem dữ liệu ngay trong VPC của khách hàng

  • Có vẻ hiển nhiên là khi bạn thu nhỏ một tổ chức chuyên gia, rất nhiều năng lực sẽ suy giảm, bao gồm cả năng lực bảo mật tác chiến
    Năm 2020, Chris Krebs đã bác bỏ các tuyên bố về bầu cử bị đánh cắp. Năm 2025, Trump sa thải Krebs và hủy quyền truy cập an ninh của ông, khiến CISA rơi vào tình trạng không có giám đốc. https://en.wikipedia.org/wiki/Chris_Krebs
    Đến tháng 3 năm 2025, việc cắt giảm đã bắt đầu. https://techcrunch.com/2025/03/11/doge-axes-cisa-red-team-st...
    Sang năm 2026, cơ quan này vẫn không có giám đốc và hoạt động trong tình trạng gần như kiệt quệ. https://techcrunch.com/2026/02/25/us-cybersecurity-agency-ci...
    Diễn biến này phù hợp với việc cố ý làm suy yếu năng lực phòng thủ của một quốc gia từ bên trong và gieo rắc hỗn loạn

    • Nếu do một thế lực thù địch nước ngoài phụ trách thì liệu chúng ta có nhận ra khác biệt không?
    • Thành thật mà nói thì chuyện này phù hợp trực tiếp hơn với sự bất tài mang tính hung hăng và kiểu tuyển dụng, sa thải dựa trên lòng trung thành. Tôi công nhận rằng việc vì sao những kẻ ngốc đó lại có được quyền tuyển và sa thải là một vấn đề phức tạp hơn
    • Krebs bị sa thải vào năm 2020, không phải 2025

  • CISA đã mất hơn một phần ba nhân sự và phần lớn lãnh đạo cấp cao sau khi chính quyền Trump thúc đẩy nghỉ hưu sớm, buyout và từ chức ở nhiều bộ phận

  • Có vẻ các thượng nghị sĩ đã hỏi vì sao CISA đang thu hẹp các nỗ lực liên quan đến an ninh bầu cử[1]. Thời điểm Tulsi từ chức hôm nay cũng trông kỳ lạ là trùng với lúc chuyện này bị phơi bày
    [1]https://www.padilla.senate.gov/newsroom/press-releases/padil...

    • Tôi không hiểu vì sao các thượng nghị sĩ Mỹ lại làm ầm lên như vậy. Trump đã nói rất rõ khi đưa ra ngân sách rằng ông muốn cắt mạnh ngân sách của CISA, và cũng trực tiếp chỉ đạo CISA đóng văn phòng an ninh bầu cử
      Đây đúng là meme “ai đã giết Hannibal”. Nếu Padilla và Warner không biết chuyện này thì bản thân họ cũng vô năng. Đặc biệt là vì năm ngoái họ đã nhắc đến chính việc này trong thông cáo báo chí rồi:
      https://www.padilla.senate.gov/newsroom/news-coverage/cnn-tr...
      Padilla, sao lại quên mất vì sao chuyện này xảy ra?

  • Điều này làm tôi nghĩ đến NCtification của giao thông công cộng. Cắt ngân sách thì chất lượng dịch vụ giảm, rồi sau đó là làn sóng dư luận tiêu cực
    Cuối cùng con đường đó có thể dẫn tới mở rộng tư nhân hóa thông qua các nhà thầu an ninh

    • Chính nhà thầu an ninh mới là bên làm lộ thông tin xác thực. Vậy nên có thể xem như chúng ta đã ở giai đoạn cuối của việc mở rộng tư nhân hóa rồi

  • Tôi nhớ vụ rò rỉ 1 triệu mẫu SF-86 ngày trước. Chính là cái mẫu mà người ta phải điền đầy thông tin cực kỳ riêng tư để đánh giá xem ta có đáng được giao dữ liệu nhạy cảm hay không

    • Đó không phải rò rỉ mà là một vụ xâm nhập. Do cơ quan an ninh quốc gia Trung Quốc thực hiện
    • Chuyện đó chẳng phải là của OPM chứ không phải CISA sao?

  • Các nghị sĩ thì đòi câu trả lời nhưng chính họ lại không đưa ra câu trả lời. Rốt cuộc ai giám sát những kẻ đi giám sát? Tham nhũng của các nghị sĩ diễn ra trên quy mô lớn, nhưng cứ như chỉ cần một key bị lộ là ai đó sẽ mất đầu vậy? Ngay cả những người rất thông minh cũng thường vô tình để lộ key
    Bạn chưa từng chạy rm -rf * sao? Chưa từng xóa nhầm cơ sở dữ liệu production sao? Chưa từng tắt nhầm nguồn của server khác sao? Ai rồi cũng từng cả

    • Việc họ giám sát không phải để chăm lo, mà là để kiểm soát. Nó ngấm ngầm mang tính thù địch, còn “chăm lo” chỉ là cái cớ chứ không phải thực tế

  • Nếu ngay cả những người lẽ ra phải là chuyên gia mà còn không thể an toàn đúng cách trên Internet, thì tôi không biết còn ai có thể an toàn trên Internet nữa

    • Đây là chuyện sau Doge. Doge đã làm rất tốt công việc của mình. Đáng buồn là nhiều người khác cũng chỉ lặp lại nguyên xi những lời dối trá của Doge

  • Điểm mấu chốt thật sự không chỉ là key AWS GovCloud bị lộ, mà còn là việc nhà thầu đã tự tay tắt tính năng bảo vệ quét bí mật của GitHub