وكالة CISA تكشف تفاصيل تسريب كلمات المرور ومفاتيح الوصول السحابية عبر GitHub

تحقيق داخلي يكشف كواليس أحد أخطر التسريبات الحكومية، وأسباب تأخر الاستجابة،

وكالة CISA تكشف تفاصيل تسريب كلمات المرور ومفاتيح الوصول السحابية عبر GitHub
تقرير رسمي من CISA يوضح الفجوات التقنية والإجرائية التي أدت إلى تسريب بيانات اعتماد حساسة ومفاتيح سحابية حكومية

أقرت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) في تقرير داخلي بوجود ثغرات أمنية أدت إلى قيام مقاول خارجي بتسريب مفاتيح وصول سحابية، وكلمات مرور، وأنظمة مصادقة عبر مستودع عام على منصة GitHub. وصدر هذا الإفصاح في وقت تواجه فيه الوكالة ضغوطاً متزايدة من الكونغرس ونقصاً في الكوادر البشرية، وذلك في إطار مساعيها لاستعادة الثقة بعد هذه الحادثة التي تُعد من أبرز التسريبات الحكومية في الفترة الأخيرة.

رصدت شركة GitGuardian المتخصصة في كشف الأسرار البرمجية هذا المستودع العام الذي حمل اسم “Private-CISA” في الرابع عشر من مايو 2026. وتضمنت محتوياته البالغة 844 ميجابايت مؤشرات على قصور في التدابير الأمنية، شملت كلمات مرور مخزنة بنصوص مجردة، ونسخاً احتياطية داخل نظام Git، إلى جانب توجيهات صريحة لتعطيل ميزة الكشف التلقائي عن الأسرار في GitHub. وعقب التحقق من خطورة الموقف، تواصل الباحث غيوم فالادون مع الوكالة عبر قنوات متعددة، ما دفعها لإغلاق المستودع في اليوم التالي. ومع ذلك، أفاد الخبير الأمني المستقل فيليب كاتوريلي من شركة Seralys بأن مفاتيح AWS بقيت نشطة وصالحة للاستخدام لمدة 48 ساعة إضافية بعد الإغلاق، ما أثار تساؤلات حيال سرعة الاستجابة.

ووفقاً للتقرير المشترك الذي أعده الرئيس التنفيذي المؤقت للمعلومات بريستون ويرنتز والرئيس التنفيذي المؤقت لأمن المعلومات براد ليبي، فإن المقاول رفع نسخة من مستودع البناء والنشر الداخلي إلى حسابه الشخصي على GitHub بشكل غير مقصود، بهدف أتمتة عمليات إنشاء البنية التحتية السحابية. 

واحتوت هذه النسخة على صلاحيات إدارية كاملة وبيانات خاصة بالبنية التحتية كخدمة (IaaS)، تشتمل على مفاتيح وصول إلى خدمات AWS GovCloud الحكومية الحساسة. وعلى الرغم من ذكر الصحفي برايان كريبس، حينما نشر تفاصيل الواقعة، أن المستودع كان يديره موظف تابع لشركة Nightwing، إلا أن وكالة CISA لم تؤكد هوية الشركة رسمياً في تقريرها.

واتخذت الوكالة عدة إجراءات فورية شملت تغيير جميع كلمات المرور وبيانات الاعتماد في البيئات التطويرية التي كان يتصل بها المقاول، وتحديث سياسات المستودعات البرمجية لمنع أي رفع مستقبلي إلى المنصات العامة. وأوضحت أن عملية تبديل مفاتيح السحابة استغرقت وقتاً تجاوز التقديرات الأولية نتيجة تعقيد الأنظمة وتداخلها مع شركاء فيدراليين وجهات قطاعية. وبين تحليل سجلات النظام عدم رصد أي استخدام غير مصرح به للبيانات المسربة، مؤكداً سلامة بيانات العملاء والمهام التشغيلية من الاختراق.

وتجاوزت تداعيات الحادثة الشق التقني لتصل إلى المساءلة السياسية، حيث وجه النائب بيني تومسون والسيناتورة ماغي حسن في التاسع عشر من مايو رسالتين منفصلتين للمطالبة بإحاطات تفصيلية حول مسببات هذا الخلل الأمني في جهة منوط بها حماية الأمن السيبراني، وأشارا إلى احتمالية ارتباط الحادثة بتقليص الميزانيات والتسريحات الأخيرة.

وأقرت الوكالة بغياب دليل إجرائي مسبق للتعامل مع حوادث تسريب البيانات السحابية عبر GitHub، ما تطلب إعداد دليل عملي خلال الساعات الأولى للاستجابة. كما أشارت إلى الصعوبات التي واجهها باحث GitGuardian في العثور على قناة تواصل مباشرة، ما دفعه للجوء إلى الصحافة، وهو ما استدعى التزام الوكالة بتحسين وتبسيط آليات التبليغ للباحثين الخارجيين. وتعهدت CISA بتطوير منظومة إدارة أسرار المطورين وتشديد مراقبة المستودعات، مؤكدة أن الشفافية في إدارة الحوادث تعد ركيزة أساسية لتعزيز الثقة وخدمة مجتمع الأمن السيبراني.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى