2026-05-22 00:00
← VoltarLegisladores em ambas as casas do Congresso estão exigindo respostas da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) depois que KrebsOnSecurity relatou esta semana que um contratante da CISA publicou intencionalmente chaves AWS GovCloud e um vasto tesouro de segredos de outras agências em uma conta pública do GitHub. A investigação ocorre no momento em que a CISA ainda luta para conter a violação e invalidar as credenciais vazadas. Em 18 de maio, KrebsOnSecurity informou que um contratante CISA com acesso administrativo à plataforma de desenvolvimento de código da agência criou um perfil público no GitHub chamado “Private-CISA” que incluía credenciais de texto simples para dezenas de sistemas CISA internos. Especialistas que analisaram os segredos expostos disseram que os logs de commit do repositório de código mostraram que o contratante CISA desativou a proteção integrada do GitHub contra a publicação de credenciais confidenciais em repositórios públicos. A CISA reconheceu o vazamento, mas não respondeu às perguntas sobre a duração da exposição dos dados. No entanto, os especialistas que analisaram o agora extinto arquivo Private-CISA disseram que ele foi originalmente criado em novembro de 2025 e que exibe um padrão consistente com um operador individual usando o repositório como um bloco de notas funcional ou mecanismo de sincronização, em vez de um repositório de projeto com curadoria. Numa declaração escrita, a CISA afirmou que “não há indicação...
Legisladores em ambas as casas do Congresso estão exigindo respostas da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) depois que KrebsOnSecurity relatou esta semana que um contratante da CISA publicou intencionalmente chaves AWS GovCloud e um vasto tesouro de segredos de outras agências em uma conta pública do GitHub. A investigação ocorre no momento em que a CISA ainda luta para conter a violação e invalidar as credenciais vazadas. Em 18 de maio, KrebsOnSecurity informou que um contratante CISA com acesso administrativo à plataforma de desenvolvimento de código da agência criou um perfil público no GitHub chamado “Private-CISA” que incluía credenciais de texto simples para dezenas de sistemas CISA internos. Especialistas que analisaram os segredos expostos disseram que os logs de commit do repositório de código mostraram que o contratante CISA desativou a proteção integrada do GitHub contra a publicação de credenciais confidenciais em repositórios públicos. A CISA reconheceu o vazamento, mas não respondeu às perguntas sobre a duração da exposição dos dados. No entanto, os especialistas que analisaram o agora extinto arquivo Private-CISA disseram que ele foi originalmente criado em novembro de 2025 e que exibe um padrão consistente com um operador individual usando o repositório como um bloco de notas funcional ou mecanismo de sincronização, em vez de um repositório de projeto com curadoria. Numa declaração escrita, a CISA afirmou que “não há indicação de que quaisquer dados sensíveis tenham sido comprometidos como resultado do incidente”. Mas numa carta (PDF) de 19 de maio ao diretor interino da CISA, Nick Andersen, a senadora Maggie Hassan (D-NH) disse que a fuga de credenciais levanta sérias questões sobre como tal falha de segurança poderia ocorrer na própria agência encarregada de ajudar a prevenir violações cibernéticas.
“Este relatório levanta sérias preocupações em relação às políticas e procedimentos internos da CISA num momento de ameaças significativas à segurança cibernética contra a infraestrutura crítica dos EUA”, escreveu o senador Hassan. O senador Hassan observou que o incidente ocorreu num contexto de grandes perturbações internas na CISA, que perdeu mais de um terço da sua força de trabalho e quase todos os seus líderes seniores depois de a administração Trump ter forçado uma série de reformas antecipadas, aquisições e demissões nas várias divisões da agência. O deputado Bennie Thompson (D-MS), membro graduado do Comitê de Segurança Interna da Câmara, ecoou as preocupações do senador. “Estamos preocupados que este incidente reflita uma cultura de segurança diminuída e/ou uma incapacidade da CISA de gerenciar adequadamente seu suporte contratual”, escreveu Thompson em uma carta de 19 de maio ao chefe interino da CISA, co-assinada pela Rep. Delia Ramirez (D-Ill), membro graduado do Subcomitê de Segurança Cibernética e Proteção de Infraestrutura do painel. "Não é nenhum segredo que os nossos adversários - como a China, a Rússia e o Irão - procuram obter acesso e persistência nas redes federais. Os ficheiros contidos no repositório 'Private-CISA' forneceram a informação, o acesso e o roteiro para fazer exatamente isso." KrebsOnSecurity descobriu que mais de uma semana depois que a CISA foi notificada pela primeira vez sobre o vazamento de dados pela empresa de segurança GitGuardian, a agência ainda está trabalhando para invalidar e substituir muitas das chaves e segredos expostos. Em 20 de maio, KrebsOnSecurity ouviu Dylan Ayrey, criador do TruffleHog, uma ferramenta de código aberto para descobrir chaves privadas e outros segredos enterrados em código hospedado no GitHub e outras plataformas públicas.
Ayrey disse que a CISA ainda não invalidou uma chave privada RSA exposta no repositório Private-CISA que concedeu acesso a um aplicativo GitHub que pertence à conta corporativa CISA e instalado na organização CISA-IT GitHub com acesso total a todos os repositórios de código. “Um invasor com essa chave pode ler o código-fonte de todos os repositórios da organização CISA-IT, incluindo repositórios privados, registrar executores auto-hospedados desonestos para sequestrar pipelines de CI/CD e acessar segredos do repositório e modificar as configurações de administração do repositório, incluindo regras de proteção de ramificação, webhooks e chaves de implantação”, disse Ayrey ao KrebsOnSecurity. CI/CD significa Integração Contínua e Deli Contínuo muito, e se refere a um conjunto de práticas usadas para automatizar a construção, teste e implantação de software. KrebsOnSecurity notificou a CISA sobre as descobertas de Ayrey em 20 de maio. Ayrey disse que a CISA parece ter invalidado a chave privada RSA exposta algum tempo depois dessa notificação. Mas ele observou que a CISA ainda não alterou credenciais vazadas vinculadas a outras tecnologias críticas de segurança implantadas em todo o portfólio de tecnologia da agência (KrebsOnSecurity não está nomeando essas tecnologias publicamente por enquanto). A CISA respondeu com uma breve declaração por escrito em resposta a perguntas sobre as descobertas de Ayrey, dizendo que “a CISA está respondendo ativamente e se coordenando com as partes e fornecedores apropriados para garantir que quaisquer credenciais vazadas identificadas sejam rotacionadas e invalidadas e continuará a tomar as medidas apropriadas para proteger a segurança de nossos sistemas”. Ayrey disse que sua empresa, Truffle Security, monitora o GitHub e uma série de outras plataformas de código em busca de chaves expostas e tenta alertar as contas afetadas sobre a(s) exposição(ões) de dados confidenciais.
Eles podem fazer isso facilmente no GitHub porque a plataforma publica um feed ao vivo que inclui um registro de todos os commits e alterações em repositórios de código público. Mas ele disse que os cibercriminosos também monitoram esses feeds públicos e muitas vezes são rápidos em atacar chaves API ou SSH que são publicadas inadvertidamente em commits de código. Em termos práticos, é provável que grupos de crimes cibernéticos ou adversários estrangeiros também tenham notado a publicação destes segredos da CISA, o mais flagrante dos quais parece ter acontecido no final de Abril de 2026, disse Ayrey. “Monitoramos esse conjunto de dados em busca de chaves e temos ferramentas para tentar descobrir de quem são”, disse ele. "Temos evidências de que os invasores também monitoram essa mangueira. Qualquer pessoa que esteja monitorando os eventos do GitHub pode estar baseada nessas informações." James Wilson, editor de tecnologia empresarial do podcast de segurança Risky Business, disse que as organizações que usam o GitHub para gerenciar projetos de código podem definir políticas de cima para baixo que impedem os funcionários de desabilitar as proteções do GitHub contra a publicação de chaves e credenciais secretas. Mas o co-apresentador de Wilson, Adam Boileau, disse que não está claro se qualquer tecnologia poderia impedir os funcionários de abrir sua própria conta pessoal no GitHub e usá-la para armazenar informações confidenciais e proprietárias. “Em última análise, isso é algo que você não pode resolver com um controle técnico”, disse Boileau no podcast desta semana.
"Este é um problema humano onde você contratou um empreiteiro para fazer este trabalho e ele decidiu por sua própria vontade usar o GitHub para sincronizar o conteúdo de uma máquina de trabalho para uma máquina doméstica. Não sei quais controles técnicos você poderia implementar, visto que isso está sendo feito, presumivelmente, fora de qualquer coisa gerenciada pela CISA ou até mesmo com visibilidade." Atualização, 15h05. ET: Adicionada declaração da CISA. Corrigida uma data na história (a Truffle Security disse que descobriu que o repo ganhou alguns de seus segredos mais confidenciais no final de abril de 2026, não em 2025).