Ein Auftragnehmer der **Cybersecurity & Infrastructure Security Agency (CISA)** unterhielt ein öffentliches **GitHub**-Repository, das bis vor kurzem Zugangsdaten zu mehreren hochprivilegierten **AWS GovCloud**-Konten und eine große Anzahl interner CISA-Systeme offengelegt hat. Sicherheitsexperten bezeichnen dies als einen der schwerwiegendsten staatlichen Datenlecks der jüngeren Geschichte, da das Archiv Dateien enthielt, die detailliert beschreiben, wie CISA Software intern erstellt, testet und bereitstellt. ### Entdeckung durch GitGuardian Am 15. Mai wurde **KrebsOnSecurity** von **Guillaume Valadon**, einem Forscher des Sicherheitsunternehmens **GitGuardian**, kontaktiert. **GitGuardian** scannt ständig öffentliche Code-Repositories wie **GitHub** auf offengelegte Geheimnisse und benachrichtigt automatisch die Kontoinhaber über potenzielle sensible Datenlecks. Valadon wandte sich an uns, da der Eigentümer des Repositories nicht reagierte und die offengelegten Informationen hochsensibel waren.  ### Details zum „Private-CISA“-Repository Das **GitHub**-Repository mit dem Namen „**Private-CISA**“ enthielt eine große Anzahl interner CISA/DHS-Zugangsdaten und Dateien, darunter Cloud-Schlüssel, Token, Klartext-Passwörter, Protokolle und andere sensible CISA-Assets. Valadon bemerkte, dass die Commit-Logs zeigten, dass der CISA-Administrator die Standardeinstellung von **GitHub** deaktiviert hatte, die Benutzer daran hindert, SSH-Schlüssel oder andere Geheimnisse in öffentlichen Code-Repositories zu veröffentlichen. „Passwörter im Klartext in einer CSV-Datei gespeichert, Backups in Git, explizite Befehle zur Deaktivierung der GitHub-Geheimniserkennungsfunktion“, schrieb Valadon. „Ich glaubte ehrlich gesagt, dass alles gefälscht sei, bevor ich den Inhalt genauer analysierte. Dies ist tatsächlich das schlimmste Leck, das ich in meiner Karriere erlebt habe. Es ist offensichtlich ein individueller Fehler, aber ich glaube, dass er interne Praktiken offenlegen könnte.“ ### Offengelegte Zugangsdaten und potenzielle Auswirkungen Eine Datei mit dem Titel „importantAWStokens“ enthielt administrative Zugangsdaten für drei **Amazon AWS GovCloud**-Server. Eine andere Datei, „AWS-Workspace-Firefox-Passwords.csv“, listete Klartext-Benutzernamen und -Passwörter für Dutzende interner CISA-Systeme auf, darunter eines namens „LZ-DSO“ (Landing Zone DevSecOps), die sichere Code-Entwicklungsumgebung der Behörde. **Philippe Caturegli**, Gründer der Sicherheitsberatung **Seralys**, bestätigte, dass die offengelegten Zugangsdaten die AWS GovCloud-Konten mit hohem Berechtigungsniveau authentifizieren könnten. Er bemerkte auch, dass das Repository Klartext-Zugangsdaten für das interne „Artifactory“ von CISA enthielt, ein Repository von Code-Paketen, die zum Erstellen von Software verwendet werden. Dies könnte ein Hauptziel für Angreifer sein, die einen persistenten Fußabdruck in CISA-Systemen etablieren wollen. „Das wäre ein idealer Ort für laterale Bewegungen“, sagte er. „Ein Backdoor in einigen Softwarepaketen, und jedes Mal, wenn sie etwas Neues erstellen, verteilen sie Ihre Backdoor links und rechts.“  ### CISA's Reaktion und Untersuchung CISA erklärte, dass sie sich der gemeldeten Offenlegung bewusst seien und die Situation untersuchten. „Derzeit gibt es keine Hinweise darauf, dass sensible Daten infolge dieses Vorfalls kompromittiert wurden“, schrieb ein CISA-Sprecher. „Obwohl wir von unseren Teammitgliedern die höchsten Standards an Integrität und operative Wachsamkeit erwarten, arbeiten wir daran, zusätzliche Schutzmaßnahmen zu implementieren, um zukünftige Vorfälle zu verhindern.“ Das Repository „Private CISA“ wurde von einem Mitarbeiter von **Nightwing**, einem Regierungsauftragnehmer, gepflegt. Nightwing lehnte eine Stellungnahme ab und verwies Anfragen an CISA. Das Repository wurde am 13. November 2025 erstellt, und das **GitHub**-Konto des Auftragnehmers stammt aus dem September 2018. Das **GitHub**-Konto wurde kurz nach den Benachrichtigungen offline genommen, aber die offengelegten AWS-Schlüssel blieben weitere 48 Stunden gültig. ### Beitragende Faktoren und Sicherheitspraktiken CISA arbeitet derzeit mit reduzierten Budgets und Personalbeständen. Das nun stillgelegte Private CISA Repo zeigte, dass der Auftragnehmer auch leicht zu erratende Passwörter für interne Ressourcen verwendete, wie z. B. Plattformnamen gefolgt vom aktuellen Jahr. „Ich vermute, dass [der CISA-Auftragnehmer] dieses GitHub nutzte, um Dateien zwischen einem Arbeitslaptop und einem Heimcomputer zu synchronisieren, da er dieses Repository seit November 2025 regelmäßig committet hat“, sagte Caturegli. „Dies wäre ein peinlicher Leak für jedes Unternehmen, aber in diesem Fall ist es noch schlimmer, weil es sich um CISA handelt.“