سیکیورٹی محقق برائن کربس ہمیں خبر لاتا ہے کہ امریکہ کی سائبرسیکیوریٹی اور انفراسٹرکچر ایجنسی (CISA) کے پاس سادہ متن کے پاس ورڈز، SSH نجی کلیدوں، ٹوکنز، اور “دیگر حساس CISA اثاثوں” کا ایک بڑا ذخیرہ ہے جو کم از کم نومبر 2025 سے عوامی GitHub ریپو میں ظاہر کیا گیا ہے۔
اب آف لائن پبلک ریپو — جس کا نام، کسی حد تک خواہش مندانہ طور پر، “پرائیویٹ-سی آئی ایس اے” — کو GitGuardian کی طرف سے کریبس کی توجہ دلائی گئی تھی۔ گیلوم ویلادون، جسے GitGuardian کے عوامی کوڈ اسکینز کے ذریعہ ریپو کی موجودگی سے آگاہ کیا گیا تھا۔ کریبس کا کہنا ہے کہ پرائیویٹ-سی آئی ایس اے ریپو کے مالک کی جانب سے کوئی جواب نہ ملنے کے بعد ویلڈن نے ان سے رابطہ کیا۔
کریبس کو بھیجے گئے ای میل میں، والاڈن نے دعویٰ کیا کہ ریپو کے کمٹ لاگز سے پتہ چلتا ہے کہ رازوں کے ارتکاب کے خلاف GitHub کے پہلے سے طے شدہ تحفظات — ایسے تحفظات جو نادانستہ یا غیر ہنر مند ڈویلپرز کو بالکل اس قسم کی حماقت سے بچانے کے لیے بنائے گئے ہیں — کو ریپو کے منتظم نے غیر فعال کر دیا تھا۔
کی طرف سے ٹیسٹنگ سیرلیس کے بانی فلپ کیچرگلی۔ ظاہر کیا کہ یہ کوئی مذاق یا دھوکہ نہیں تھا اور وہ نجی-CISA ریپو میں اسناد کو استعمال کرنے کے قابل تھا تاکہ متعدد Amazon Web Services GovCloud اکاؤنٹس تک رسائی حاصل کر سکے “اعلی استحقاق کی سطح پر۔”
کربس نے نوٹ کیا کہ ایسا لگتا ہے کہ ریپو کا انتظام ورجینیا میں مقیم ہے۔ نائٹ وِنگ، ایک CISA ٹھیکیدار۔ نائٹ ونگ نے اب تک عوامی طور پر کوئی تبصرہ نہیں کیا ہے، بجائے اس کے کہ سوالات کو واپس CISA سے رجوع کیا جائے۔
یہ پہلی بار نہیں ہے جب CISA نے خرابی کی ہے – حقیقت میں، یہ پہلی بار بھی نہیں ہے اس سال. جنوری میں، پولی گراف کی ناکامی سی آئی ایس اے کے قائم مقام ڈائریکٹر مدھو گوٹوموکلا۔ ChatGPT پر حساس سرکاری دستاویزات اپ لوڈ کیں۔ ایجنسی کی پالیسی سے استثنیٰ کا مطالبہ کرنے اور وصول کرنے کے بعد جس میں CISA اہلکاروں کے ذریعے ChatGPT کے استعمال پر پابندی تھی۔ گوٹوموکلا تھا۔ فروری میں اپنے کردار سے ہٹا دیا گیا۔.
