Подрядчик CISA выложил критичные пароли в публичный репозиторий GitHub
3 мин
22
Подрядчик Агентства по кибербезопасности и защите инфраструктуры США (CISA) держал на GitHub открытый репозиторий. Внутри лежали логины и пароли от нескольких высокопривилегированных аккаунтов AWS GovCloud и разных внутренних систем CISA. Эксперты по информационной безопасности называют инцидент одной из самых серьёзных утечек государственных данных за последние годы. В публичном доступе также оказались файлы с описанием процессов разработки, тестирования и развертывания ПО в агентстве.
Проблему удалось выявить с помощью системы GitGuardian, которая постоянно сканирует открытые репозитории на GitHub в поисках потенциальных утечек конфиденциальных сведений. Обычно сервис автоматически уведомляет владельцев аккаунтов о найденных чувствительных данных. Однако в этом случае хозяин репозитория не отвечал на запросы и исследователь связался с редакцией издания Krebs on Security.
Репозиторий назывался Private-CISA и содержал внутренние данные и файлы не только CISA, но и Минобороны США. Внутри находились в том числе облачные ключи, токены, пароли в открытом виде, логи и так далее. История коммитов показывает, что администратор CISA отключил стандартную защиту GitHub, которая блокирует публикацию SSH-ключей и других секретных данных в открытых репозиториях.
Пароли хранились внутри репозитория в открытом виде в CSV-файле, а бэкапы — в git. Один из выложенных файлов содержал административные учётные данные к трём серверам Amazon AWS GovCloud. Другой файл включал логины и пароли в открытом виде к десяткам внутренних систем CISA. Среди них была LZ-DSO. По мнению специалистов, этот аккаунт GitHub использовался скорее как рабочий блокнот или механизм синхронизации, а не как полноценный проектный репозиторий.
История использования корпоративной почты CISA и личной почты говорит о том, что репозиторий мог применяться в разных окружениях. Данные из него позволяют войти в три аккаунта AWS GovCloud с высоким уровнем привилегий. В архиве имеются пароли в открытом виде к внутреннему репозиторию CISA.
Изучение аккаунта GitHub показывает, что репозиторий Private CISA вёл сотрудник Nightwing — государственного подрядчика из Даллеса, штат Вирджиния. Компания не давала официальных комментариев по ситуации.
Представитель CISA сообщил, что агентство в курсе утечки и продолжает расследование. На данный момент нет признаков того, что в результате инцидента были скомпрометированы какие-либо чувствительные данные. В агентстве не ответили на вопросы о том, сколько времени сведения были в открытом доступе. Репозиторий был создан 13 ноября 2025 года, а аккаунт подрядчика на GitHub существует с сентября 2018-го.
Вскоре после того, как KrebsOnSecurity и Seralys уведомили CISA об утечке, аккаунт GitHub с репозиторием Private CISA был удалён. Однако опубликованные в нём ключи AWS по непонятным причинам оставались действительными ещё 48 часов.
