Uma contratada da **Cybersecurity & Infrastructure Security Agency (CISA)** mantinha um repositório público no **GitHub** que expôs credenciais para várias contas **AWS GovCloud** altamente privilegiadas e um grande número de sistemas internos da CISA até recentemente. Especialistas em segurança a chamam de um dos vazamentos de dados governamentais mais graves da história recente, pois o arquivo incluía documentos detalhando como a CISA constrói, testa e implanta software internamente. ### Descoberta pela GitGuardian Em 15 de maio, o **KrebsOnSecurity** foi contatado por **Guillaume Valadon**, um pesquisador da empresa de segurança **GitGuardian**. A **GitGuardian** escaneia constantemente repositórios de código público como o **GitHub** em busca de segredos expostos, alertando automaticamente os proprietários das contas sobre potenciais exposições de dados sensíveis. Valadon entrou em contato porque o proprietário do repositório não estava respondendo e as informações expostas eram altamente sensíveis.  ### Detalhes do Repositório "Private-CISA" O repositório do **GitHub**, nomeado "**Private-CISA**", continha um vasto número de credenciais e arquivos internos da CISA/DHS, incluindo chaves de nuvem, tokens, senhas em texto plano, logs e outros ativos sensíveis da CISA. Valadon observou que os logs de commit mostravam que o administrador da CISA havia desativado a configuração padrão do **GitHub** que impede os usuários de publicar chaves SSH ou outros segredos em repositórios de código público. "Senhas armazenadas em texto plano em um csv, backups no git, comandos explícitos para desativar o recurso de detecção de segredos do GitHub", escreveu Valadon. "Eu honestamente acreditei que tudo era falso antes de analisar o conteúdo mais a fundo. Este é realmente o pior vazamento que testemunhei em minha carreira. É obviamente um erro individual, mas acredito que pode revelar práticas internas." ### Credenciais Expostas e Impacto Potencial Um arquivo, intitulado "importantAWStokens", incluía credenciais administrativas para três servidores **Amazon AWS GovCloud**. Outro arquivo, "AWS-Workspace-Firefox-Passwords.csv", listava nomes de usuário e senhas em texto plano para dezenas de sistemas internos da CISA, incluindo um chamado "LZ-DSO" (Landing Zone DevSecOps), o ambiente seguro de desenvolvimento de código da agência. **Philippe Caturegli**, fundador da consultoria de segurança **Seralys**, validou que as credenciais expostas poderiam autenticar nas contas AWS GovCloud em um alto nível de privilégio. Ele também observou que o repositório incluía credenciais em texto plano para o "artifactory" interno da CISA, um repositório de pacotes de código usados para construir software. Isso poderia ser um alvo principal para atacantes que buscam estabelecer um ponto de apoio persistente nos sistemas da CISA. "Seria um local privilegiado para se mover lateralmente", disse ele. "Colocar um backdoor em alguns pacotes de software, e toda vez que eles construírem algo novo, eles implantarão seu backdoor para todos os lados."  ### Resposta e Investigação da CISA A CISA declarou que está ciente da exposição relatada e está investigando a situação. "Atualmente, não há indicação de que quaisquer dados sensíveis tenham sido comprometidos como resultado deste incidente", escreveu um porta-voz da CISA. "Embora exijamos que nossos membros de equipe atendam aos mais altos padrões de integridade e conscientização operacional, estamos trabalhando para garantir que salvaguardas adicionais sejam implementadas para prevenir ocorrências futuras." O repositório "Private CISA" era mantido por um funcionário da **Nightwing**, uma contratada governamental. A Nightwing recusou-se a comentar, direcionando as perguntas para a CISA. O repositório foi criado em 13 de novembro de 2025, e a conta **GitHub** da contratada data de setembro de 2018. A conta do **GitHub** foi retirada do ar logo após as notificações, mas as chaves AWS expostas permaneceram válidas por mais 48 horas. ### Fatores Contribuintes e Práticas de Segurança A CISA está atualmente operando com orçamento e níveis de pessoal reduzidos. O agora extinto repositório Private CISA mostrou que a contratada também usava senhas fáceis de adivinhar para recursos internos, como nomes de plataforma seguidos pelo ano atual. "O que suspeito que aconteceu é que [a contratada da CISA] estava usando este GitHub para sincronizar arquivos entre um laptop de trabalho e um computador doméstico, porque ela se comprometeu regularmente com este repositório desde novembro de 2025", disse Caturegli. "Este seria um vazamento embaraçoso para qualquer empresa, mas é ainda mais neste caso porque é a CISA."