- एक CISA contractor ने सार्वजनिक GitHub प्रोफ़ाइल “Private-CISA” पर आंतरिक सिस्टमों के दर्जनों plaintext credentials अपलोड कर दिए, और GitHub सुरक्षा फीचर्स बंद किए जाने के संकेत भी छोड़े
- CISA ने लीक स्वीकार किया, लेकिन यह नहीं बताया कि डेटा कितने समय तक exposed रहा; repository 2025 के नवंबर में बनाई गई थी और इसका उपयोग निजी scratchpad की तरह किए जाने का पैटर्न दिखा
- Maggie Hassan और Bennie Thompson समेत सांसदों ने ऐसे समय में, जब critical infrastructure पर खतरे बढ़ रहे हैं, CISA की internal security policy, contractor management और security culture पर सवाल उठाए
- GitGuardian की सूचना के एक हफ्ते बाद भी कुछ keys का rotation जारी था, और TruffleHog के Dylan Ayrey ने कहा कि 20 मई तक RSA private key अभी भी active थी
- सार्वजनिक GitHub event feed पर defenders और attackers दोनों नज़र रख सकते हैं, इसलिए अप्रैल 2026 के अंत में जोड़े गए अतिरिक्त sensitive secrets के पहले ही दुरुपयोग हो जाने का जोखिम बना हुआ है
CISA लीक और कांग्रेस की पूछताछ
- एक CISA contractor ने, एजेंसी के code development platform पर admin अधिकारों के साथ, “Private-CISA” नाम की सार्वजनिक GitHub प्रोफ़ाइल बनाई, जिसमें CISA के आंतरिक सिस्टमों के दर्जनों plaintext credentials शामिल थे
- commit log में ऐसे संकेत मिले कि सार्वजनिक repository में sensitive credentials पोस्ट होने से रोकने वाले GitHub के built-in protection features को disable किया गया था
- CISA ने लीक स्वीकार किया, लेकिन डेटा कितने समय तक exposed रहा, इस पर जवाब नहीं दिया
- गायब हो चुके Private-CISA archive की समीक्षा करने वाले विशेषज्ञों ने निष्कर्ष निकाला कि repository पहली बार नवंबर 2025 में बनाई गई थी, और इसका उपयोग किसी सुव्यवस्थित project repository से अधिक निजी कामकाज के scratchpad या sync माध्यम जैसा दिखता था
- CISA ने लिखित बयान में कहा, “इस incident के परिणामस्वरूप sensitive data compromise होने के कोई संकेत नहीं हैं”
सांसदों ने security culture पर चिंता जताई
- Sen. Maggie Hassan ने 19 मई को CISA Acting Director Nick Andersen को भेजे पत्र में कहा कि cyber intrusions रोकने में मदद करने वाली एजेंसी में ऐसी security failure कैसे हुई, इस पर गंभीर सवाल उठते हैं
- Hassan ने कहा कि अमेरिका के critical infrastructure को निशाना बनाने वाले गंभीर cyber threats जारी रहने के बीच CISA की internal policies और procedures को लेकर चिंता बढ़ी है
- यह incident CISA के भीतर बड़े पैमाने की अव्यवस्था के दौरान हुआ; Trump administration द्वारा कई विभागों में early retirement, buyout और resignations थोपे जाने के बाद CISA ने अपने workforce का एक-तिहाई से अधिक और लगभग सभी senior leaders खो दिए
- Rep. Bennie Thompson ने 19 मई के पत्र में कहा कि यह incident कमजोर security culture या CISA की contractor support management क्षमता की कमी को दिखा सकता है
- Thompson और सह-हस्ताक्षरकर्ता Rep. Delia Ramirez ने कहा कि चीन, रूस और ईरान जैसी hostile शक्तियाँ federal networks में access और persistence हासिल करने की कोशिश कर रही हैं, और ऐसे में Private-CISA repository की files ने intelligence, access permissions और roadmap उपलब्ध कराया हो सकता है
credentials को अमान्य करने की प्रक्रिया अभी पूरी नहीं
- security firm GitGuardian द्वारा CISA को डेटा लीक की पहली सूचना दिए जाने के एक हफ्ते से अधिक समय बाद भी CISA exposed keys और secrets के बड़े हिस्से को revoke और replace करने की प्रक्रिया जारी रखे हुए था
- TruffleHog के निर्माता Dylan Ayrey ने कहा कि 20 मई तक Private-CISA repository में exposed RSA private key अभी तक revoke नहीं की गई थी
- इस RSA private key से उस GitHub app का access मिलता था, जो CISA enterprise account के स्वामित्व में था और CISA-IT GitHub organization में install था; उसके पास सभी code repositories पर full access था
- Ayrey के अनुसार, हमलावर इस key के जरिए CISA-IT organization की सभी repositories के source code और private repositories पढ़ सकते थे, malicious self-hosted runners register कर सकते थे, CI/CD pipeline hijack कर सकते थे और repository secrets तक पहुंच सकते थे
- हमलावर branch protection rules, webhooks और deploy keys समेत repository admin settings भी बदल सकते थे
- KrebsOnSecurity ने 20 मई को Ayrey की खोज CISA को बताने के बाद, ऐसा लगता है कि CISA ने उस RSA private key को revoke कर दिया
- Ayrey ने कहा कि एजेंसी के technology portfolio में तैनात अन्य core security technologies से जुड़े leaked credentials अभी भी बदले नहीं गए थे
- CISA ने जवाब में कहा, “हम संबंधित पक्षों और vendors के साथ सक्रिय रूप से काम और समन्वय कर रहे हैं ताकि पहचाने गए leaked credentials को replace और revoke किया जा सके, और system security की रक्षा के लिए उचित कदम उठाना जारी रखेंगे”
सार्वजनिक GitHub event feed का दोहरा पहलू
- Truffle Security GitHub और कई code platforms पर exposed keys की निगरानी करता है और प्रभावित accounts को sensitive data exposure की सूचना देने की कोशिश करता है
- GitHub सार्वजनिक code repositories के सभी commits और changes का real-time feed देता है, और यही संरचना exposure detection को संभव बनाती है
- Ayrey ने कहा कि cybercriminals भी इस सार्वजनिक feed की निगरानी करते हैं और code commit में गलती से पोस्ट हुई API keys या SSH keys को तेजी से निशाना बनाते हैं
- Private-CISA GitHub repository में महत्वपूर्ण CISA GovCloud resources के लिए दर्जनों plaintext credentials exposed थे
- Ayrey ने कहा कि cybercrime groups या विदेशी hostile शक्तियों ने भी CISA secrets की पोस्टिंग देखी होने की काफी संभावना है, और सबसे गंभीर exposure संभवतः अप्रैल 2026 के अंत में हुआ था
- मुख्य जोखिम यह है कि “GitHub events को मॉनिटर करने वाला कोई भी व्यक्ति यह जानकारी रख सकता है”
तकनीकी controls की सीमाएँ
- Risky Business security podcast के James Wilson का कहना है कि GitHub पर code projects मैनेज करने वाले organizations ऐसी top-level policies सेट कर सकते हैं, जिससे कर्मचारी secret keys और credentials पोस्टिंग रोकने वाले फीचर्स बंद न कर सकें
- सह-होस्ट Adam Boileau ने कहा कि कौन-सी technology कर्मचारियों को personal GitHub accounts खोलकर sensitive और proprietary जानकारी स्टोर करने से रोक सकती है, यह स्पष्ट नहीं है
- Boileau ने इस incident को ऐसा human problem बताया जिसे सिर्फ technical controls से हल करना मुश्किल है
- यदि contractor काम के device और personal device के बीच content sync करने के लिए GitHub का उपयोग कर रहा था, तो यह सीमा सामने आती है कि CISA के प्रबंधन या निगरानी से बाहर होने वाली गतिविधि को रोकना मुश्किल है
- लेख के update में CISA का बयान जोड़ा गया, और Truffle Security द्वारा यह कहे जाने के बाद कि repository के कुछ सबसे sensitive secrets 2025 में नहीं बल्कि अप्रैल 2026 के अंत में जोड़े गए थे, तारीख संबंधी त्रुटि सुधारी गई
1 टिप्पणियां
Hacker News की राय
यह सच में हद दर्जे की गलती है। “यह किसी managed project repository से ज़्यादा किसी personal working notepad या sync माध्यम की तरह repository के इस्तेमाल के पैटर्न से मेल खाता है” — क्या Git की सबसे बुनियादी बातों में यह शामिल नहीं है कि credentials उसमें नहीं डालते? समझ नहीं आता कि यह आखिर किस पैटर्न से मेल खाता है
“~ से मेल खाने वाला पैटर्न दिखता है” बस इतना बताता है कि repository का इस्तेमाल कैसे किया गया लगता है। यानी यह किसी internal project के लिए सरकारी source code का bundle नहीं था, और न ही इसमें बड़े पैमाने पर data leak की मंशा का संकेत दिखता है
आप उस वाक्य में असल से ज़्यादा अर्थ पढ़ रहे हैं। वह सिर्फ देखी गई बात दर्ज कर रहा है
अगर technical controls ज़्यादा सक्षम होते, तो ऐसी स्थिति को ही रोका जाना चाहिए था जहाँ कोई random contractor 2025 के मध्य के passwords अपने home computer पर copy कर सके, और वे passwords 30 दिन तो छोड़िए 5 दिन बाद भी काम कर रहे हों
कुछ संगठनों में अतिरिक्त लागत मुद्दा हो सकती है, लेकिन यहाँ वैसी स्थिति नहीं है। या फिर यह भी हो सकता है कि ऐसे projects और standards मूल रूप से CISA का काम थे, और पिछले साल Republicans ने उसे बिगाड़ दिया, तो यह उसी सड़न का एक और लक्षण है। जो भी हो, technology ऐसे मामलों को साफ़ तौर पर कम कर सकती है; यह कोई अपरिहार्य प्राकृतिक आपदा नहीं है
"aws s3 cp s3://client/file - | less"जैसी तरह से log files उतारना भी मुझे अच्छा नहीं लगता। मैं तो कहीं बेहतर समझूँगा कि एक सस्ता instance खड़ा किया जाए और client के VPC के अंदर ही data देखा जाएअगर आप किसी expert organization को सिकोड़ कर छोटा कर देंगे, तो opsec capability सहित कई क्षमताएँ कम होना स्वाभाविक ही है
2020 में Chris Krebs ने चुराए गए चुनाव के दावों का खंडन किया था। 2025 में Trump ने Krebs को बर्खास्त किया और उनकी security clearance रद्द कर CISA को director के बिना छोड़ दिया। https://en.wikipedia.org/wiki/Chris_Krebs
2025 के मार्च में कटौतियाँ शुरू हुईं। https://techcrunch.com/2025/03/11/doge-axes-cisa-red-team-st...
2026 में भी वहाँ director नहीं था और एजेंसी लगभग खोखली हालत में चल रही थी। https://techcrunch.com/2026/02/25/us-cybersecurity-agency-ci...
यह सब किसी देश की रक्षा को भीतर से जानबूझकर कमजोर करने और अव्यवस्था फैलाने वाले कदमों से मेल खाता है
Trump प्रशासन द्वारा कई विभागों में early retirement, buyout, और resignation को बढ़ावा देने के बाद CISA ने अपने कर्मियों के एक-तिहाई से ज़्यादा और अधिकांश senior leadership खो दी
लगता है senators पूछ रहे हैं कि CISA election security से जुड़ी कोशिशों को क्यों कम कर रहा है[1]। Tulsi के आज के इस्तीफ़े का समय भी अजीब तरह से इसी खुलासे के समय से मेल खाता दिखता है
[1]https://www.padilla.senate.gov/newsroom/press-releases/padil...
यह वही “Hannibal को किसने मारा” meme है। अगर Padilla और Warner को यह नहीं पता था, तो वे खुद भी अयोग्य हैं। खासकर इसलिए कि पिछले साल वे इस विषय पर press release भी जारी कर चुके थे:
https://www.padilla.senate.gov/newsroom/news-coverage/cnn-tr...
Padilla, आपको कैसे भूल गया कि यह हुआ था?
इससे public transit की NCTification याद आती है। budget कम करो, service level गिरता है, और उसके बाद नकारात्मक जनमत आ जाता है
आखिरकार ऐसा रास्ता security contractors के ज़रिये और अधिक privatization तक ले जा सकता है
मुझे याद है पहले SF-86 form के 10 लाख रिकॉर्ड leak हुए थे। वही form जिसमें हमें यह तय करने के लिए बेहद निजी जानकारी भरनी पड़ती है कि क्या हम sensitive data के भरोसे लायक हैं
lawmakers जवाब चाहते हैं, लेकिन खुद जवाब नहीं देते। इन तथाकथित watchers पर नज़र कौन रखता है? lawmakers का corruption बड़े पैमाने पर चलता है, लेकिन अगर एक key public हो जाए तो किसी की गर्दन चली जाएगी? keys तो बहुत समझदार लोग भी अक्सर गलती से public कर देते हैं
rm -rf *कभी नहीं चलाया? production database कभी नहीं उड़ाया? गलत server की power कभी बंद नहीं की? सबने किया हैअगर जिन लोगों को expert होना चाहिए, वे खुद इंटरनेट पर सुरक्षित नहीं रह पा रहे, तो फिर कोई और इंटरनेट पर कैसे सुरक्षित रह सकता है, समझ नहीं आता
असली मुद्दा सिर्फ leak हुई AWS GovCloud key नहीं है, बल्कि यह है कि contractor ने GitHub की secret scanning protection को manually बंद कर दिया था