Es scheint, als ob heutzutage jede Organisation Geheimnisse im Internet preisgibt – selbst die US-Regierung. **GitGuardian**-Forscher **Guillaume Valadon** enthüllte, dass er ein öffentliches **GitHub**-Repository der **Cybersecurity and Infrastructure Security Agency (CISA)** entdeckt hat, das 844 MB sensible Daten enthielt, darunter Klartext-Passwörter, Authentifizierungstoken und andere Geheimnisse. Trotz der Benennung "Private-CISA" war das Repository seit dem 13. November 2025 öffentlich online zugänglich. In einem [Blogbeitrag](https://blog.gitguardian.com/how-we-got-a-cisa-github-leak-taken-down-in-26-hours/) sagte **Valadon**, er habe das offengelegte Repository erstmals am 14. Mai entdeckt, nachdem **GitGuardians** Public Monitoring, das öffentliche Quellen wie **GitHub** kontinuierlich auf geleakte Geheimnisse scannt, das Repository am Vortag markiert hatte. Nach einem Blick vermutete er zunächst einen Scherz, da der Inhalt des Repos "zu gut schien, um wahr zu sein". Leider war das Repository echt, und die darin enthaltenen Geheimnisse ebenso. **CISA's** Fehltritt ist das jüngste Beispiel für einen unglücklichen Trend – Organisationen, die es versäumen, die Ausbreitung von Geheimnissen einzudämmen und versehentlich sensible Datensätze im Internet offenzulegen, wo eifrige Bedrohungsakteure bereitstehen, um sie einzusammeln. Verwandt: [Interpol's 'Operation Ramz' Pioneers Cross-Region Collabs in Middle East](https://www.darkreading.com/cybersecurity-operations/interpol-operation-ramz-cross-region-middle-east) ## Angreifer erhalten 'detaillierten Einblick in die Cloud-Infrastruktur' **Valadon** fand im Repository einige beeindruckende Verzeichnis- und Dateinamen, darunter "Important AWS Tokens.txt" und "ENTRA ID - SAML Certificates/". Tatsächlich enthielt das Repository nicht nur diese Token und **SAML**-Zertifikate, sondern auch Klartext-Passwörter, private Schlüssel und andere Anmeldeinformationen, von denen einige noch gültig waren. Darüber hinaus beherbergte das Repository CI/CD-Build-Protokolle, Dokumentation zu Deployment-Workflows, **Kubernetes**-Manifeste, **GitHub Actions**-Workflows, Automatisierung für **GitHub**-Organisationen und eine Fülle von **AWS**-Daten, wie Benutzerkonten, Identity and Access Management (IAM)-Daten, Service-Accounts und Geheimnisverwaltungswege, unter anderem. "Das offengelegte Material bot einen detaillierten Einblick in die Cloud-Infrastruktur, Deployment-Workflows, Software-Supply-Chain-Tools und interne Betriebspraktiken", schrieb **Valadon**. **Dark Reading** kontaktierte **CISA** für eine Stellungnahme, doch die Behörde antwortete bis zum Redaktionsschluss nicht. Es ist unklar, ob die Geheimnisse in den sechs Monaten, in denen das Repository online war, abgerufen wurden. Studien haben gezeigt, dass Angreifer Cloud-Assets wie **GitHub**-Repositories auf offengelegte Geheimnisse überwachen und [innerhalb weniger Minuten auf Lecks aufspringen können](https://www.techtarget.com/searchsecurity/news/366542352/Attackers-discovering-exposed-cloud-assets-within-minutes), nachdem die Daten online gestellt wurden. **Valadon** teilte **Dark Reading** mit, dass eine "maßgebliche Antwort die Kooperation von **GitHub** erfordern würde", da externe Ansichten von Repos eingeschränkt sind. "Was wir von außen sehen können, ist, dass das Repository basierend auf öffentlichen **GitHub**-Ereignissen nie geforkt wurde. Das ist ein schwaches, aber reales Signal dafür, dass es sich nicht weit verbreitet hat", sagt er. "Wir können Klone nicht von außen beobachten, daher können wir nicht ausschließen, dass eine Einzelperson eine Kopie heruntergeladen hat, aber das ist eine Schlussfolgerung, keine Bestätigung." Verwandt: [Looking Back, Looking Forward: Digesting a Dynamic Bouillabaisse of Cyber Evolution](https://www.darkreading.com/cybersecurity-operations/looking-back-looking-forward-bouillabaisse-cyber-evolution) ## **CISA's** Hochrisiko-Praktiken führten zur Offenlegung Die gute Nachricht ist, dass die Behörde nach Benachrichtigung von **CISA** das Repository in etwas mehr als 24 Stunden offline genommen hat, obwohl **Valadon** anmerkte, dass dies die Hilfe des Cybersicherheitsjournalisten **Brian Krebs** erforderte, der sich mit seinen Kontakten bei der Behörde in Verbindung setzte und das Problem eskalierte. "Anerkennung für **CISA** für die schnelle Reaktion – die meisten unserer Offenlegungen dauern weitaus länger, und einige werden nie behoben", schrieb **Valadon**. Die schlechte Nachricht ist, dass **CISA**-Mitarbeiter Hochrisiko-Verhalten an den Tag legten. "Das Repository war ein Katalog unsicherer Praktiken: Klartext-Passwörter, Backups, die in Git committet wurden, und explizite Anweisungen, **GitHub's** Secret Scanning zu deaktivieren", schrieb er. **Valadon** teilte **Dark Reading** mit, dass basierend auf einer Analyse des Repos die wahrscheinlichste Erklärung sei, dass die Push-Schutzfunktion von **GitHub** die Commits blockierte, da einige der Commits hartcodierte Geheimnisse enthielten. "Anstatt die Geheimnisse zu entfernen, dokumentierte jemand, wie die Kontrolle deaktiviert werden kann, damit die Commits durchgehen", sagt er. Verwandt: [AI Drives Cybersecurity Investments, Widening 'Valley of Death'](https://www.darkreading.com/cybersecurity-operations/ai-cybersecurity-investments-valley-death) Dies, fügt **Valadon** hinzu, ist eine schlechte Praxis, die reife Organisationen meiden. Stattdessen behandeln sie solche Sicherheitsfunktionen wie