Bij de Amerikaanse cyberwaakhond Cybersecurity and Infrastructure Security Agency (CISA) zijn gevoelige toegangsgegevens voor interne systemen en cloudomgevingen publiekelijk op GitHub verschenen.
Dat meldt Brian Krebs op zijn site KrebsOnSecurity. Volgens beveiligingsonderzoekers ging het onder meer om AWS GovCloud-sleutels, plaintext wachtwoorden en interne DevSecOps-bestanden.
De gegevens stonden in een publieke GitHub-repository met de naam Private-CISA, die volgens KrebsOnSecurity werd beheerd door een contractor van CISA. Onderzoekers van securitybedrijven GitGuardian en Seralys ontdekten dat de repository toegang bood tot verschillende interne omgevingen en softwarerepositories van de Amerikaanse overheid.
GovCloud-accounts toegankelijk
Volgens onderzoekers bevatten de gelekte bestanden administratieve sleutels voor meerdere AWS GovCloud-accounts. AWS GovCloud is een afgeschermde cloudomgeving van Amazon Web Services die speciaal bedoeld is voor gevoelige Amerikaanse overheidsdata.
Onderzoekers van securitybedrijf Seralys zeggen daarnaast te hebben bevestigd dat meerdere gelekte AWS GovCloud-accounts daadwerkelijk toegankelijk waren met hoge rechten. Ook zouden in de repository CSV-bestanden met plaintext gebruikersnamen en wachtwoorden hebben gestaan voor interne CISA-systemen.
Daarnaast zouden credentials voor interne softwarerepositories en buildomgevingen zijn gelekt. Philippe Caturegli van Seralys waarschuwt dat toegang tot zulke repositories aantrekkelijk is voor aanvallers die malware of backdoors in softwarebuilds willen opnemen. Daardoor zouden compromitteringen zich verder binnen overheidsomgevingen kunnen verspreiden.
GitHub-beveiliging uitgeschakeld
Volgens GitGuardian had de beheerder van de repository bovendien GitHub-functionaliteit uitgeschakeld die normaal gesproken voorkomt dat geheime sleutels of wachtwoorden publiek worden gepubliceerd. Ars Technica geeft aan dat de repository vermoedelijk al sinds november 2025 openbaar toegankelijk was.
Onderzoekers troffen daarnaast wachtwoorden aan die relatief eenvoudig te raden waren, bijvoorbeeld combinaties van platformnamen met het huidige jaartal. KrebsOnSecurity schrijft dat de repository vermoedelijk werd gebruikt als synchronisatiepunt tussen verschillende apparaten van de contractor.
CISA bevestigt tegenover KrebsOnSecurity dat het incident wordt onderzocht. Volgens de organisatie zijn er momenteel geen aanwijzingen dat gevoelige gegevens daadwerkelijk zijn misbruikt. Wel zegt de instantie aanvullende maatregelen te nemen om herhaling te voorkomen.
Opvallend is dat sommige gelekte AWS-sleutels volgens onderzoekers nog ongeveer 48 uur geldig bleven nadat CISA over het lek was geïnformeerd en de GitHub-repository offline werd gehaald.
De repository zou zijn beheerd door een medewerker van Nightwing, een Amerikaanse contractor die voor overheidsinstanties werkt. Nightwing verwees vragen van KrebsOnSecurity door naar CISA.