CISA leak GitHub-on
2026. május 14-én a GitGuardian felfedezett egy „Private-CISA” nevű nyilvános GitHub repository-t, amely 844 MB, az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökséghez (CISA) tartozó, plain text jelszót, AWS-tokent és Entra ID SAML-tanúsítványt tartalmazott. A repository 2025 novembere óta volt nyilvánosan hozzáférhető és néhány hitelesítő adat még mindig érvényes volt. A CISA 26 órán belül eltávolította a repository-t a nyilvánosság elől.
A GitGuardian kutatója, Guillaume Valadon szerint a nyilvánosságra került CISA hitelesítő adatok a rossz biztonsági gyakorlatok iskolapéldáját jelentik. A kutatói kiemelte, hogy a problémás GitHub-fiók commit-naplói azt mutatják, hogy a CISA rendszergazdája letiltotta a GitHub alapértelmezett beállítását, amely megakadályozza a felhasználókat abban, hogy SSH-kulcsokat vagy egyéb “secreteket” tegyenek közzé nyilvános kódtárolókban.
Az egyik nyilvánosságra került fájl, az „importantAWStokens” nevű, három Amazon AWS GovCloud szerver rendszergazdai hitelesítő adatait tartalmazta. Egy másik fájl – az „AWS-Workspace-Firefox-Passwords.csv” – több tucat belső CISA-rendszer felhasználónevét és jelszavát tartalmazta plain text formában.
Philippe Caturegli, a Seralys biztonsági tanácsadó cég alapítója tesztelte is az AWS-kulcsokat azért, hogy megbizonyosodjon azok érvényességéről, és hogy kiderítse, mely belső rendszerekhez férhetnek hozzá a nyilvánosságra került fiókok. Caturegli szerint az “AWS-Workspace-Firefox-Passwords.csv”-ben volt egy „LZ-DSO” nevű rendszer is, amely a „Landing Zone DevSecOps” rövidítése, ami a CISA biztonságos kódfejlesztési környezete.
A CISA szóvivője elmondta, hogy „jelenleg semmi nem utal arra, hogy az incidens következtében bármilyen érzékeny adat kompromittálódott volna”.
