CISA 계약업체, GitHub에 AWS GovCloud 자격 증명 노출 (opens in new tab)

사이버보안 및 인프라 보안국(CISA)의 한 계약업체가 지난 주말까지 여러 개의 높은 권한을 가진 AWS GovCloud 계정과 다수의 CISA 내부 시스템 자격 증명을 노출한 공개 GitHub 저장소를 운영했다고 KrebsOnSecurity가 보도했습니다. "Private-CISA"라는 이름의 이 저장소에는 클라우드 키, 토큰, 평문 비밀번호, 로그 및 기타 민감한 자산을 포함한 CISA와 DHS의 자격 증명 및 파일이 포함되어 있었습니다. KrebsOnSecurity는 GitGuardian의 연구원인 기욤 발라동(Guillaume Valadon)이 GitGuardian의 스캔을 통해 해당 저장소를 발견하고 소유자가 경고에 응답하지 않자 5월 15일에 제보했다고 밝혔습니다. Techmeme은 CISA가 현재 상황을 조사 중이라고 요약했으며, Gizmodo는 해당 문제가 주말 동안 해결되었다고 보도했습니다.Highlights:소프트웨어 프로세스 노출: 보안 전문가들은 해당 아카...