تسريب CISA على GitHub: 844 ميغابايت من مفاتيح GovCloud

نُشر في مايو 27, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

كشف مقاول تابع لـ Nightwing عن 844 ميغابايت من بيانات اعتماد سحابة CISA — مفاتيح مسؤول AWS GovCloud وإعدادات Kubernetes ومفاتيح SSH — في مستودع GitHub عام لمدة ستة أشهر (نوفمبر 2025–مايو 2026). كان المقاول قد أوقف حماية الدفع في GitHub واستخدم كلمات مرور كـ’AWS2026’، وظلت المفاتيح المكشوفة صالحة 48 ساعة بعد حذف المستودع.

الخلاصة: ينبغي لفرق الأمن تدقيق كل بيانات اعتماد سحابية ثابتة قيد الاستخدام اليوم والترحيل نحو رموز STS قصيرة الأمد أو هوية حمل العمل OIDC — واختبار قدرتها على إلغاء صلاحية جميع بيانات الاعتماد عالية الامتياز خلال ساعة واحدة من الاكتشاف.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

تواجه برامج البنية التحتية الرقمية في الجزائر — بما فيها بناء مركز البيانات الوطني وصلاحيات ASSI في الأمن السيبراني والاعتماد المتنامي على الحوسبة السحابية في الوكالات الحكومية — الفجوة ذاتها في الإشراف على المقاولين التي أتاحت هذا الحادث. يتسارع اعتماد السحابة الحكومية بينما لا تزال أطر التحقق الأمني من المقاولين ضعيفة التطوير.

البنية التحتية جاهزة؟
جزئي
▾

تمتلك الجزائر المكونات التقنية (اعتماد السحابة، استخدام GitHub، النظم البيئية للمقاولين) التي تجعل هذا النوع من التعرض ممكناً. ما يقل تطوراً هو طبقة المراقبة: الكشف الآلي عن الأسرار وسياسات حماية الدفع وSLA لمتوسط وقت الإلغاء لم تصبح بعد ممارسات معيارية في معظم البيئات المؤسسية أو الحكومية الجزائرية.

المهارات متوفرة؟
جزئي
▾

يشكّل ممارسو DevSecOps الذين يفهمون المصادقة القائمة على OIDC ومعمارية بيانات الاعتماد قصيرة الأمد وأدوات الكشف عن الأسرار مجتمعاً صغيراً لكن متنامياً في الجزائر. المهارات موجودة على المستوى الفردي؛ أما الاعتماد المنهجي على المستوى التنظيمي فلا يزال متأخراً.

الجدول الزمني للعمل
فوري
▾

ينبغي لأي منظمة تستخدم حالياً مفاتيح AWS أو GitHub أو واجهات API السحابية الثابتة البدء فوراً في الترحيل نحو بيانات اعتماد قصيرة الأمد. الخطر قائم اليوم لا بعد 12 شهراً.

أصحاب المصلحة الرئيسيون
كبار مسؤولي أمن المعلومات، مهندسو السحابة، فرق DevSecOps، مديرو IT الحكوميون، مسؤولو إدارة العقود

نوع القرار
تكتيكي
▾

يُزوّد هذا المقال ممارسي الأمن ومهندسي السحابة بإجراءات محددة وقابلة للتنفيذ للحد من التعرض لبيانات الاعتماد الثابتة — وهو أمر ينطبق سواء عمل القارئ في القطاع الحكومي أو الخاص.

خلاصة سريعة: ينبغي لقادة تقنية المعلومات الجزائريين المشرفين على البنية التحتية السحابية — سواء في الوكالات الحكومية أو المؤسسات الخاصة — معاملة هذا الحادث كمخطط لتدقيق ممارساتهم الخاصة في الإشراف على المقاولين وإدارة الأسرار. الضوابط المحددة التي أخفقت (حماية الدفع المعطلة، وبيانات الاعتماد الثابتة، وغياب SLA للتدوير) كلها قابلة للتهيئة اليوم باستخدام أدوات متاحة بالفعل على AWS وGitHub وKubernetes. اتخذ من نافذة الإلغاء البالغة 48 ساعة هدفاً للقياس: إذا لم يستطع فريقك تدوير جميع بيانات الاعتماد عالية الامتياز في غضون ساعة عمل واحدة، فهذه فجوة تستوجب خارطة طريق للمعالجة.

المستودع الذي كان يجب ألا يوجد

في 14 مايو 2026، رصد Guillaume Valadon، باحث في GitGuardian، مستودع GitHub عاماً يحمل اسم “Private-CISA.” كان الاسم مضللاً — إذ كان المستودع عاماً بالكامل، ومتاحاً منذ 13 نوفمبر 2025، أي ما يقارب ستة أشهر.

كان المستودع يحتوي على 844 ميغابايت من البيانات التي كان يجب أن تبقى داخل بيئة فيدرالية مؤمنة: مفاتيح حساب AWS GovCloud بمستوى مسؤول مخزنة في ملف يحمل حرفياً اسم “importantAWStokens”، وكلمات مرور نصية في ملف CSV بعنوان “AWS-Workspace-Firefox-Passwords.csv”، وملف تهيئة مجموعة Kubernetes (kube-config.txt)، ومفاتيح SSH، وشهادات SAML لـ Entra ID، وسجلات بناء CI/CD، وسير عمل النشر، وكود بنية تحتية Terraform.

انتمى المستودع إلى موظف في Nightwing، مقاول حكومي مقره Dulles بولاية فيرجينيا، وفقاً لـ Krebs on Security. يبدو أن المقاول كان يستخدم حساب GitHub شخصياً كـ”منصة عمل”، خالطاً بريداً إلكترونياً صادراً عن CISA مع عنوان Yahoo شخصي في نفس سجل Git — مما أنشأ جسراً موثقاً بين بيئة فيدرالية مصنفة وخدمة سحابية شخصية غير مراقبة. رفضت Nightwing التعليق.

كان نظام مسح GitGuardian الآلي قد أرسل بالفعل تسعة رسائل تنبيه إلى مؤلف الالتزامات قبل تصعيد Valadon. لم يُتخذ أي إجراء. أفاد CyberScoop بأن المستودع أُغلق في حوالي الساعة 6:00 مساءً بتوقيت شرق الولايات المتحدة في 15 مايو 2026 — أي نحو 26 ساعة بعد إخطار GitGuardian المباشر لـ CISA.

ما كان بداخله فعلاً — ولماذا يهم

يمثل محتوى مستودع “Private-CISA” أكثر من مجرد إهمال مقاول واحد. إذ يرسم المحتوى مجتمعاً خريطة دقيقة للبنية السحابية الداخلية لـ CISA.

كانت مفاتيح AWS GovCloud بمستوى إداري — أي أن حاملها يمكنه توفير موارد السحابة أو تعديلها أو حذفها بحرية. أما مخططات Kubernetes فقد أعطت أي شخص يطلع عليها صورة مفصلة عن طبولوجيا تنسيق الحاويات في CISA. كشفت سجلات CI/CD وسير عمل GitHub Actions كيف تبني CISA برمجياتها وتنشرها داخلياً، بما في ذلك تبعيات خط الأنابيب ونقاط التكامل. أما بيانات اعتماد Artifactory — مستودع خاص لقطع الأثر البرمجي — فكانت ستمكّن من حركة جانبية أعمق داخل سلسلة توريد البرمجيات لدى CISA.

ولعل الأمر الأكثر إثارة للقلق هو ما كشفت عنه كلمات المرور ذاتها. أفاد Cybersecurity News أن كثيراً من بيانات الاعتماد اتبعت نمط “اسم المنصة + السنة الحالية” — كلمة مرور كـ”AWS2026″ مثلاً. هذه هي بالضبط البنية المتوقعة للبيانات التي صُممت هجمات القوة العمياء وحشو بيانات الاعتماد الآلية لاستغلالها. فضلاً عن ذلك، أوقف المقاول عمداً حماية المسح الآلي للأسرار المدمجة في GitHub، وهي ميزة كانت ستُبلغ عن نشر بيانات الاعتماد أو تحجبه. إيقاف هذه الحماية يتطلب خياراً صريحاً — لا يحدث بالصدفة.

يمثل تأخير 48 ساعة في تدوير مفاتيح AWS GovCloud المكشوفة بعد حذف المستودع فشلاً مضاعفاً. وثّقت Akeyless أن المفاتيح ظلت صالحة يومين كاملين بعد الحذف، مما يعني أن أي شخص نسخ بيانات الاعتماد خلال فترة الستة أشهر استمر في التمتع بوصول حي طويلاً بعد معالجة التعرض الأساسي.

ما يجب على كبار مسؤولي أمن المعلومات وفرق الأمن فعله

يتكوّن حادث CISA من خمسة إخفاقات متمايزة على الأقل، يمكن منع كل منها بشكل مستقل. فهمها بشكل منفصل هو ما يحوّل خبراً صحفياً إلى قائمة مراجعة تشغيلية.

1. التعامل مع بيانات الاعتماد الثابتة طويلة الأمد كعيب تصميمي لا كمشكلة سياسة

الدرس الأعمق هنا معماري. كان لدى المقاول ملف باسم “importantAWStokens” لأن النظام أصدر بيانات اعتماد في شكل قابل للتخزين. بيانات الاعتماد السحابية الثابتة طويلة الأمد — مفاتيح API التي لا تنتهي صلاحيتها، ومفاتيح SSH المخزنة في ملفات — هي فئة الأسرار الأكثر احتمالاً للظهور في مستودعات GitHub ورسائل Slack وسجلات الحوادث.

البديل ليس “تدريباً أفضل.” بل هي أنظمة لا تُصدر أسراراً ثابتة أصلاً. تدعم AWS IAM رموز جلسة قصيرة الأمد عبر STS (Security Token Service) تنتهي صلاحيتها خلال 15 دقيقة إلى 12 ساعة ولا يمكن إعادة استخدامها بعد انتهائها. يدعم Kubernetes فيدرالية هوية حمل العمل التي تربط هوية الحاوية بدور IAM السحابي دون كتابة أي بيانات اعتماد على القرص. ينبغي للمنظمات التي تدير أحمال العمل الحكومية أو الخاضعة للتنظيم أن تُدقق في كل مكان يُطلب فيه مفتاح ثابت وتوثّق خطة ترحيل نحو رموز قصيرة الأمد أو المصادقة القائمة على OIDC.

2. نشر الكشف عن الأسرار على مستوى الدفع لا على مستوى التدقيق

أرسلت GitGuardian تسعة تنبيهات آلية قبل أن يُصعّد أحدهم الأمر. تجاهلها المقاول جميعاً — وكان قد أوقف الحماية الأصلية لـ GitHub لضمان تجاهلها. هذا نمط شائع: الكشف الذي يحدث بعد الالتزام بسر ما هو تفاعلي لا وقائي. الحماية على مستوى الدفع التي تحجب الالتزام قبل وصوله إلى المستودع البعيد هي حماية وقائية.

ينبغي لكل منظمة تمتلك مستودع كود تفعيل حماية الدفع في GitHub Advanced Security (أو ما يعادلها لـ GitLab أو Bitbucket أو Azure DevOps) وتهيئتها بحيث لا يستطيع المطورون تعطيلها دون طلب تجاوز صريح مسجّل ومراجع. التجاوز — لا الحجب — هو ما يجب أن يُنبّه فريق الأمن. في حالة CISA، كان وجود إعداد حماية دفع معطّل ينبغي أن يكون في حد ذاته شذوذاً مرصوداً في أي تدقيق لإدارة الأسرار ذي نضج معقول.

3. تحديد إلغاء صلاحية بيانات الاعتماد واختباره وتحديد وقته كخطوة رسمية في الاستجابة للحوادث

نافذة 48 ساعة التي ظلت فيها مفاتيح AWS GovCloud المخترقة صالحة بعد حذف المستودع هي الجزء من هذا الحادث الذي سيحدد تعرضه القانوني والتنظيمي. بالنسبة لوكالة فيدرالية، يجب الآن معاملة أي نظام كانت مفاتيحه متاحة خلال تلك الـ48 ساعة كنظام مخترق محتمل، مما يستلزم مراجعة السجلات الجنائية وتحليل أنماط الوصول وإعادة التصديق المشروط على تلك البيئات.

يجب أن يكون إلغاء صلاحية بيانات الاعتماد خطوة مسمّاة ومختبرة في دليل الاستجابة للحوادث لديك — لا مجرد “شخص ما سيدير المفاتيح” بشكل غير رسمي. ينبغي أن يتضمن الاختبار تمريناً محاكياً حيث يُبلَّغ عن اختراق بيانات اعتماد ويسابق الفريق الزمن لإلغاء صلاحيتها واستبدالها خلال نافذة زمنية محددة. توصي معيار NIST 800-61r3 بإتمام تدوير بيانات الاعتماد في غضون ساعة عمل واحدة للأنظمة عالية التأثير. استغرق رد CISA 48 ساعة. ينبغي لفرق الأمن قياس ونشر متوسط وقت الإلغاء الخاص بها كمؤشر أداء رئيسي.

4. فرض فصل هوية المقاولين على مستوى المستودع

كان “الجسر” الذي مكّن هذا الحادث بنيوياً: خلط مقاول فيدرالي بريداً إلكترونياً حكومياً مع عنوان Yahoo شخصي في نفس سجل Git، واستخدم حساب GitHub شخصياً لتخزين العمل الحكومي. لا تبدو عملية تأهيل CISA ولا إجراءات إدارة المقاولين في Nightwing أنها فرضت الفصل على مستوى المستودعات.

تدعم GitHub Enterprise سياسات التحقق من الهوية التي تشترط توقيع الالتزامات بهوية صادرة عن المنظمة. ينبغي تطبيق هذه السياسة على أي مستودع يتعامل مع البنية التحتية الحكومية. ينبغي أن تتضمن عقود المقاولين بنوداً صريحة تحظر استخدام حسابات المستودعات الشخصية لأي كود أو تهيئة متعلقة بالعمل، مع أحكام تدقيق خلال التأهيل. في سياق حكومي، تحمل هذه البنود ثقلاً قانونياً بموجب أحكام الأمن في لوائح الاستحواذ الفيدرالية (FAR).

الصورة الكاملة: تقليص القوى العاملة والدين الأمني

أبدى الكونغرس تفاعلاً فورياً. أرسل ممثل Bennie Thompson والممثلة Delia Ramirez من لجنة الأمن الداخلي في مجلس النواب رسالة في 26 مايو 2026 طالبين إحاطة على مستوى الموظفين حول “كيفية وقوع هذا الخرق الأمني الخطير، وأي عواقب أمنية محتملة، وأنشطة المعالجة، والإجراءات التصحيحية المتعلقة بموظفي المقاولين المعنيين.” أرسلت السناتورة Maggie Hassan رسالة منفصلة في نفس اليوم.

أشارت الرسالتان إلى أمر أشارت إليه أيضاً تقارير Krebs on Security: فقدت CISA ما يقارب ثلث قوتها العاملة منذ مطلع 2025، عبر مزيج من التقاعد والمكافآت الطوعية والاستقالات في سياق الضغوط الميزانية الفيدرالية. كتبت Hassan: “يثير هذا الحادث تساؤلات جدية حول كيفية وقوع مثل هذا الإخفاق الأمني في الوكالة ذاتها المكلفة بمساعدة الجهات الأخرى على الوقاية من الاختراقات الإلكترونية.”

يشير هذا الإطار إلى ديناميكية هيكلية تتجاوز بكثير التزاماً متهوراً من مقاول واحد. حين تفقد منظمة ما ثلث موظفيها في فترة زمنية مضغوطة، تحدث ثلاثة أشياء في آنٍ واحد: تغادر مع الموظفين ذوي الخبرة المعرفة المؤسسية بإجراءات التشغيل الآمن؛ ويصبح الإشراف على موظفي المقاولين أقل صرامة؛ ويتآكل التعاقد النفسي الذي يحول دون اختصار المهندسين في ممارسات النظافة الأمنية الشخصية. المقاول الذي أوقف حماية الدفع في GitHub لم يكن يعمل في بيئة تتمتع برقابة جيدة.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما الذي تعرّض بالضبط في تسريب GitHub لـ CISA؟

احتوى مستودع GitHub العام المسمى “Private-CISA” على 844 ميغابايت من البيانات، تضمنت مفاتيح وصول AWS GovCloud بمستوى إداري، وملف تهيئة مجموعة Kubernetes، ومفاتيح SSH، وشهادات SAML لـ Entra ID، وسجلات بناء CI/CD، وكود بنية تحتية Terraform، وملفات CSV تحتوي كلمات مرور نصية لأنظمة CISA الداخلية. ظل المستودع متاحاً للعموم نحو ستة أشهر، من 13 نوفمبر 2025 حتى 15 مايو 2026.

لماذا ظلت مفاتيح AWS المكشوفة نشطة 48 ساعة بعد حذف المستودع؟

يبدو أن إجراءات إلغاء صلاحية بيانات الاعتماد في CISA لم تتضمن استجابة آلية أو محددة الوقت لحالات التعرض المكتشفة. بمجرد إخطار GitGuardian لـ CISA وحذف المستودع، لم تُدوَّر مفاتيح AWS الأساسية فوراً — إذ بقيت صالحة نحو 48 ساعة. يعد هذا إخفاقاً مستقلاً عن التعرض الأولي: فهو يعني أن أي شخص نسخ المفاتيح خلال فترة الستة أشهر استمر في التمتع بوصول حي طويلاً بعد حذف المستودع، مما يُبرز أن حذف المستودع وحده ليس إجراء معالجة.

كيف يمكن للمنظمات منع المقاولين من الالتزام عرضاً بالأسرار في مستودعات عامة؟

تعمل ثلاثة ضوابط بشكل متكامل: أولاً، تفعيل حماية الدفع على مستوى المستودع (GitHub Advanced Security أو ما يعادله) ومنع المطورين من تعطيلها دون طلب تجاوز مسجّل. ثانياً، إزالة بيانات الاعتماد الثابتة طويلة الأمد قدر الإمكان عبر الترحيل نحو رموز STS قصيرة الأمد على AWS أو فيدرالية هوية حمل العمل القائمة على OIDC على Kubernetes. ثالثاً، فرض فصل الهوية في عقود المقاولين — حظر استخدام حسابات المستودعات الشخصية للأعمال الحكومية أو المؤسسية وتدقيق الامتثال خلال التأهيل.