2026-05-18 00:00
← VoltarAté o fim de semana passado, um contratado da Agência de Segurança Cibernética e de Infraestrutura (CISA) mantinha um repositório GitHub público que expunha credenciais para várias contas AWS GovCloud altamente privilegiadas e um grande número de sistemas CISA internos. Especialistas em segurança disseram que o arquivo público inclui arquivos detalhando como a CISA constrói, testa e implanta software internamente, e que isso representa um dos vazamentos de dados governamentais mais flagrantes da história recente. Em 15 de maio, a KrebsOnSecurity ouviu Guillaume Valadon, pesquisador da empresa de segurança GitGuardian. A empresa de Valadon verifica constantemente os repositórios de código público no GitHub e em outros lugares em busca de segredos expostos, alertando automaticamente as contas infratoras sobre qualquer exposição aparente de dados confidenciais. Valadon disse que entrou em contato porque o proprietário neste caso não estava respondendo e as informações expostas eram altamente confidenciais. O repositório GitHub sinalizado por Valadon foi denominado “Private-CISA” e abrigava um grande número de credenciais e arquivos internos CISA/DHS, incluindo chaves de nuvem, tokens, senhas de texto simples, logs e outros ativos CISA confidenciais. Valadon disse que as credenciais CISA expostas representam um exemplo clássico de má higiene de segurança, observando que os logs de commit na conta GitHub ofensiva mostram que o administrador CISA desativou a configuração padrão no...
Até o fim de semana passado, um contratado da Agência de Segurança Cibernética e de Infraestrutura (CISA) mantinha um repositório GitHub público que expunha credenciais para várias contas AWS GovCloud altamente privilegiadas e um grande número de sistemas CISA internos. Especialistas em segurança disseram que o arquivo público inclui arquivos detalhando como a CISA constrói, testa e implanta software internamente, e que isso representa um dos vazamentos de dados governamentais mais flagrantes da história recente. Em 15 de maio, a KrebsOnSecurity ouviu Guillaume Valadon, pesquisador da empresa de segurança GitGuardian. A empresa de Valadon verifica constantemente os repositórios de código público no GitHub e em outros lugares em busca de segredos expostos, alertando automaticamente as contas infratoras sobre qualquer exposição aparente de dados confidenciais. Valadon disse que entrou em contato porque o proprietário neste caso não estava respondendo e as informações expostas eram altamente confidenciais. O repositório GitHub sinalizado por Valadon foi denominado “Private-CISA” e abrigava um grande número de credenciais e arquivos internos CISA/DHS, incluindo chaves de nuvem, tokens, senhas de texto simples, logs e outros ativos CISA confidenciais. Valadon disse que as credenciais CISA expostas representam um exemplo clássico de má higiene de segurança, observando que os logs de commit na conta GitHub ofensiva mostram que o administrador CISA desativou a configuração padrão no GitHub que impede os usuários de publicar chaves SSH ou outros segredos em repositórios de código público. “Senhas armazenadas em texto simples em um csv, backups em git, comandos explícitos para desativar o recurso de detecção de segredos do GitHub”, escreveu Valadon por e-mail.
"Sinceramente, acreditei que tudo era falso antes de analisar o conteúdo mais profundamente. Este é realmente o pior vazamento que testemunhei em minha carreira. É obviamente um erro individual, mas acredito que pode revelar práticas internas." Um dos arquivos expostos, intitulado “importantAWStokens”, incluía as credenciais administrativas de três servidores Amazon AWS GovCloud. Outro arquivo exposto em seu repositório público GitHub – “AWS-Workspace-Firefox-Passwords.csv” – listava nomes de usuário e senhas em texto simples para dezenas de sistemas CISA internos. De acordo com Caturegli, esses sistemas incluíam um chamado “LZ-DSO”, que parece abreviação de “Landing Zone DevSecOps”, o ambiente de desenvolvimento de código seguro da agência. Philippe Caturegli, fundador da consultoria de segurança Seralys, disse que testou as chaves da AWS apenas para ver se ainda eram válidas e para determinar quais sistemas internos as contas expostas poderiam acessar. Caturegli disse que a conta do GitHub que expôs os segredos da CISA exibe um padrão consistente com um operador individual usando o repositório como um bloco de notas funcional ou mecanismo de sincronização, em vez de um repositório de projeto com curadoria. “O uso de um endereço de e-mail associado ao CISA e de um endereço de e-mail pessoal sugere que o repositório pode ter sido usado em ambientes configurados de forma diferente”, observou Caturegli.
“Os metadados disponíveis do Git por si só não provam qual endpoint ou dispositivo foi usado.” Caturegli disse que validou que as credenciais expostas poderiam ser autenticadas em três contas AWS GovCloud com alto nível de privilégio. Ele disse que o arquivo também inclui credenciais de texto simples para o “artefatório” interno da CISA – essencialmente um repositório de todos os pacotes de código que eles estão usando para construir software – e que isso representaria um alvo atraente para invasores mal-intencionados que procuram maneiras de manter uma posição persistente nos sistemas CISA. “Esse seria um lugar privilegiado para se mover lateralmente”, disse ele. “Backdoor em alguns pacotes de software, e toda vez que eles constroem algo novo, eles implantam seu backdoor a torto e a direito.” Em resposta a perguntas, um porta-voz da CISA disse que a agência está ciente da exposição relatada e continua investigando a situação. “Atualmente, não há indicação de que quaisquer dados confidenciais tenham sido comprometidos como resultado deste incidente”, escreveu o porta-voz da CISA. “Embora exijamos aos membros da nossa equipe os mais altos padrões de integridade e consciência operacional, estamos trabalhando para garantir que salvaguardas adicionais sejam implementadas para prevenir ocorrências futuras.” Uma análise da conta GitHub e de suas senhas expostas mostra que o repositório “Private CISA” era mantido por um funcionário da Nightwing, uma empresa contratada pelo governo com sede em Dulles, Virgínia. A CISA não respondeu às perguntas sobre a duração potencial da exposição dos dados, mas Caturegli disse que o repositório privado CISA foi criado em 13 de novembro de 2025. A conta GitHub do contratante foi criada em setembro de 2018.
A conta GitHub que incluía o repositório privado CISA foi colocada offline logo depois que KrebsOnSecurity e Seralys notificaram a CISA sobre a exposição. Mas Caturegli disse que as chaves expostas da AWS inexplicavelmente continuaram válidas por mais 48 horas. A CISA está actualmente a funcionar com apenas uma fracção do seu orçamento normal e dos seus níveis de pessoal. A agência perdeu quase um terço da sua força de trabalho desde o início da segunda administração Trump, que forçou uma série de reformas antecipadas, aquisições e demissões nas várias divisões da agência. O agora extinto repositório Private CISA mostrou que o contratante também usava senhas fáceis de adivinhar para vários recursos internos; por exemplo, muitas das credenciais usavam uma senha que consistia no nome de cada plataforma seguido do ano atual. Caturegli disse que tais práticas constituiriam uma séria ameaça à segurança para qualquer organização, mesmo que essas credenciais nunca fossem expostas externamente, observando que os agentes da ameaça muitas vezes usam credenciais chave expostas na rede interna para expandir o seu alcance após estabelecerem o acesso inicial a um sistema visado. “O que eu suspeito que aconteceu é que [o contratante CISA] estava usando este GitHub para sincronizar arquivos entre um laptop de trabalho e um computador doméstico, porque ele se compromete regularmente com este repositório desde novembro de 2025”, disse Caturegli. “Isso seria um vazamento embaraçoso para qualquer empresa, mas é ainda mais neste caso porque é CISA.”