## Contratada da CISA Expõe Dados Sensíveis no GitHub Parlamentares de ambas as casas do Congresso estão exigindo respostas da **U.S. Cybersecurity & Infrastructure Security Agency (CISA)** após o KrebsOnSecurity reportar que uma contratada da CISA publicou intencionalmente chaves da AWS GovCloud e um vasto tesouro de outros segredos da agência em uma conta pública do **GitHub**. A investigação surge enquanto a CISA ainda luta para conter a violação e invalidar as credenciais vazadas.  Em 18 de maio, o KrebsOnSecurity reportou que uma contratada da CISA com acesso administrativo à plataforma de desenvolvimento de código da agência havia criado um perfil público no GitHub chamado “**Private-CISA**” que incluía credenciais em texto plano para dezenas de sistemas internos da CISA. Especialistas que revisaram os segredos expostos disseram que os logs de commit do repositório de código mostraram que a contratada da CISA desativou a proteção integrada do GitHub contra a publicação de credenciais sensíveis em repositórios públicos. A CISA reconheceu o vazamento, mas não respondeu a perguntas sobre a duração da exposição dos dados. No entanto, especialistas que revisaram o arquivo agora inativo do Private-CISA disseram que ele foi originalmente criado em novembro de 2025 e que exibe um padrão consistente com um operador individual usando o repositório como um bloco de notas de trabalho ou mecanismo de sincronização, em vez de um repositório de projeto curado. ## Inquérito do Congresso Em uma declaração escrita, a CISA disse que “não há indicação de que quaisquer dados sensíveis tenham sido comprometidos como resultado do incidente”. Mas em uma carta de 19 de maio (PDF) ao Diretor Interino da CISA, **Nick Andersen**, a **Senadora Maggie Hassan** (D-NH) disse que o vazamento de credenciais levanta sérias questões sobre como tal falha de segurança poderia ocorrer na própria agência encarregada de ajudar a prevenir violações cibernéticas. "Este relatório levanta sérias preocupações sobre as políticas e procedimentos internos da CISA em um momento de significativas ameaças de cibersegurança contra a infraestrutura crítica dos EUA", escreveu a Senadora Hassan.  A Senadora Hassan observou que o incidente ocorreu no contexto de grandes interrupções internas na CISA, que perdeu mais de um terço de sua força de trabalho e quase todos os seus líderes seniores após a administração Trump forçar uma série de aposentadorias antecipadas, pacotes de indenização e renúncias em várias divisões da agência. O **Representante Bennie Thompson** (D-MS), membro sênior do Comitê de Segurança Interna da Câmara, ecoou as preocupações da senadora. "Estamos preocupados que este incidente reflita uma cultura de segurança diminuída e/ou uma incapacidade da CISA de gerenciar adequadamente seu suporte contratual", escreveu Thompson em uma carta de 19 de maio ao chefe interino da CISA, que foi assinada em conjunto pela **Representante Delia Ramirez** (D-Ill), membro sênior do Subcomitê de Cibersegurança e Proteção de Infraestrutura do painel. "Não é segredo que nossos adversários — como China, Rússia e Irã — buscam obter acesso e persistência em redes federais. Os arquivos contidos no repositório 'Private-CISA' forneceram as informações, o acesso e o roteiro para fazer exatamente isso." ## Vulnerabilidades Persistentes O KrebsOnSecurity soube que, mais de uma semana após a CISA ser notificada pela primeira vez sobre o vazamento de dados pela empresa de segurança **GitGuardian**, a agência ainda está trabalhando para invalidar e substituir muitas das chaves e segredos expostos. Em 20 de maio, o KrebsOnSecurity ouviu **Dylan Ayrey**, criador do **TruffleHog**, uma ferramenta de código aberto para descobrir chaves privadas e outros segredos ocultos em código hospedado no GitHub e outras plataformas públicas. Ayrey disse que a CISA ainda não havia invalidado uma chave privada RSA exposta no repositório Private-CISA que concedia acesso a um aplicativo GitHub de propriedade da conta corporativa da CISA e instalado na organização CISA-IT com acesso total a todos os repositórios de código. "Um atacante com essa chave pode ler o código fonte de todos os repositórios na organização CISA-IT, incluindo repositórios privados, registrar runners auto-hospedados maliciosos para sequestrar pipelines de CI/CD e acessar segredos do repositório, e modificar configurações de administrador do repositório, incluindo regras de proteção de branch, webhooks e chaves de deploy", disse Ayrey ao KrebsOnSecurity. CI/CD significa Integração Contínua e Entrega Contínua, e refere-se a um conjunto de práticas usadas para automatizar a construção, teste e implantação de software. O KrebsOnSecurity notificou a CISA sobre as descobertas de Ayrey em 20 de maio. A CISA reconheceu o recebimento desse relatório, mas não respondeu a perguntas de acompanhamento. Ayrey disse que a CISA parece ter invalidado a chave privada RSA exposta em algum momento após essa notificação. Mas ele observou que a CISA ainda não rotacionou credenciais vazadas ligadas a outras tecnologias de segurança críticas que são implantadas em todo o portfólio de tecnologia da agência (o KrebsOnSecurity não está nomeando essas tecnologias publicamente por enquanto). Ayrey disse que sua empresa, Truffle Security, monitora o GitHub e várias outras plataformas de código em busca de chaves expostas e tenta alertar as contas afetadas sobre a(s) exposição(ões) de dados sensíveis. Eles podem fazer isso facilmente no GitHub porque a plataforma publica um feed ao vivo que inclui um registro de todos os commits e alterações em repositórios de código públicos. Mas ele disse que atores criminosos cibernéticos também monitoram esses feeds públicos e muitas vezes são rápidos em aproveitar chaves de API ou SSH que são inadvertidamente publicadas em commits de código.  Na prática, é provável que grupos de cibercrime ou adversários estrangeiros também tenham notado a publicação desses segredos da CISA, sendo o mais grave deles ocorrido no final de abril de 2025, disse Ayrey. "Nós monitoramos esse fluxo de dados em busca de chaves, e temos ferramentas para tentar descobrir de quem são", disse ele. "Temos evidências de que atacantes monitoram esse fluxo também. Qualquer pessoa monitorando eventos do GitHub pode estar de posse dessas informações." **James Wilson**, editor de tecnologia corporativa do podcast de segurança *Risky Business*, disse que organizações que usam o GitHub para gerenciar projetos de código podem definir políticas de cima para baixo que impedem os funcionários de desativar as proteções do GitHub contra a publicação de chaves secretas e credenciais. Mas o co-apresentador de Wilson, **Adam Boileau**, disse que não está claro se alguma tecnologia poderia impedir os funcionários de abrir sua própria conta pessoal no GitHub e usá-la para armazenar informações sensíveis e proprietárias. "No final das contas, isso é algo que você não pode resolver com um controle técnico", disse Boileau no podcast desta semana. "Este é um problema humano em que você contratou um contratado para fazer esse trabalho e eles decidiram, por conta própria, usar o GitHub para sincronizar conteúdo de uma máquina de trabalho para uma máquina doméstica. Não sei quais controles técnicos você poderia implementar, dado que isso está sendo feito presumivelmente fora de qualquer coisa que a CISA gerenciasse ou tivesse visibilidade."