Parece que toda organização está expondo segredos na Internet hoje em dia — até mesmo o governo dos EUA. O pesquisador da **GitGuardian**, **Guillaume Valadon**, revelou que descobriu um repositório público do **GitHub** pertencente à **Cybersecurity and Infrastructure Security Agency (CISA)** que continha 844MB de dados sensíveis, incluindo senhas em texto puro, tokens de autenticação e outros segredos. Apesar de se chamar "Private-CISA", o repositório estava publicamente acessível online desde 13 de novembro de 2025. Em uma [postagem de blog](https://blog.gitguardian.com/how-we-got-a-cisa-github-leak-taken-down-in-26-hours/), **Valadon** disse que descobriu o repositório exposto em 14 de maio, após o Monitoramento Público da **GitGuardian**, que escaneia continuamente fontes públicas como o **GitHub** em busca de segredos vazados, sinalizar o repositório no dia anterior. Após uma olhada, ele inicialmente suspeitou que fosse um trote porque o conteúdo do repositório "parecia bom demais para ser verdade". Infelizmente, o repositório era real, assim como os segredos contidos nele. O deslize da **CISA** marca o mais recente exemplo de uma tendência infeliz — organizações falhando em conter a proliferação de segredos e expondo acidentalmente conjuntos de dados sensíveis na Internet, onde atores de ameaças ávidos estão prontos para coletá-los. Relacionado: [Operação Ramz da Interpol Pioneira Colaborações Inter-Regionais no Oriente Médio](https://www.darkreading.com/cybersecurity-operations/interpol-operation-ramz-cross-region-middle-east) ## Atacantes Ganham 'Visão Detalhada da Infraestrutura em Nuvem' **Valadon** encontrou no repositório alguns nomes de diretórios e arquivos impressionantes, incluindo "Important AWS Tokens.txt" e "ENTRA ID - SAML Certificates/". De fato, o repositório continha não apenas esses tokens e certificados **SAML**, mas também senhas em texto puro, chaves privadas e outras credenciais, algumas das quais ainda eram válidas. Adicionalmente, o repositório abrigava logs de build CI/CD, documentação de fluxo de implantação, manifestos **Kubernetes**, fluxos de trabalho **GitHub Actions**, automação de organização **GitHub** e uma série de dados **AWS**, como contas de usuário, dados de gerenciamento de identidade e acesso (IAM), contas de serviço e caminhos de gerenciamento de segredos, entre outros itens. "O material exposto forneceu uma visão detalhada da infraestrutura em nuvem, fluxos de trabalho de implantação, ferramentas de cadeia de suprimentos de software e práticas operacionais internas", escreveu **Valadon**. O **Dark Reading** contatou a **CISA** para comentários, mas a agência não respondeu até o momento da publicação. Não está claro se os segredos foram acessados nos seis meses em que o repositório esteve online. Estudos mostraram que atacantes monitoram ativos em nuvem como repositórios **GitHub** em busca de segredos expostos e podem [agir sobre vazamentos em meros minutos](https://www.techtarget.com/searchsecurity/news/366542352/Attackers-discovering-exposed-cloud-assets-within-minutes) após os dados serem publicados online. **Valadon** disse ao **Dark Reading** que uma "resposta definitiva exigirá a cooperação do **GitHub**", pois as visualizações externas de repositórios são limitadas. "O que podemos ver de fora é que o repositório nunca foi forkado, com base em eventos públicos do **GitHub**. Esse é um sinal fraco, mas real, de que ele não circulou amplamente", diz ele. "Não podemos observar clones de fora, então não podemos descartar que um indivíduo baixou uma cópia, mas isso é uma inferência, não uma confirmação." Relacionado: [Olhando para Trás, Olhando para Frente: Digerindo uma Bouillabaisse Dinâmica de Evolução Cibernética](https://www.darkreading.com/cybersecurity-operations/looking-back-looking-forward-bouillabaisse-cyber-evolution) ## Práticas de Alto Risco da CISA Levaram à Exposição A boa notícia é que, após alertar a **CISA**, a agência removeu o repositório em pouco mais de 24 horas, embora **Valadon** tenha observado que foi necessária alguma assistência do jornalista de segurança cibernética **Brian Krebs**, que entrou em contato com seus contatos na agência e elevou a questão. "Crédito à **CISA** por agir rapidamente — a maioria das nossas divulgações leva muito mais tempo, e algumas nunca são corrigidas", escreveu **Valadon**. A má notícia é que os funcionários da **CISA** estavam se envolvendo em comportamento de alto risco. "O repositório era um catálogo de práticas inseguras: senhas em texto puro, backups commitados no Git e instruções explícitas para desabilitar a varredura de segredos do **GitHub**", escreveu ele. **Valadon** disse ao **Dark Reading** que, com base em uma análise do repositório, a explicação mais provável é que, como alguns dos commits continham segredos hardcoded, o recurso de proteção de push do **GitHub** estava bloqueando os pushes. "Em vez de remover os segredos, alguém documentou como desabilitar o controle para que os commits fossem realizados", diz ele. Relacionado: [IA Impulsiona Investimentos em Segurança Cibernética, Ampliando o 'Vale da Morte'](https://www.darkreading.com/cybersecurity-operations/ai-cybersecurity-investments-valley-death) Isso, acrescenta **Valadon**, é uma má prática que organizações maduras evitam. Em vez disso, elas tratam tais recursos de segurança como