Mon, 18 May 2026
← VoltarAté o fim de semana passado, um contratado da Agência de Segurança Cibernética e de Infraestrutura (CISA) mantinha um repositório GitHub público que expunha credenciais para várias contas AWS GovCloud altamente privilegiadas e um grande número de sistemas CISA internos. Especialistas em segurança disseram que o arquivo público
Até o fim de semana passado, um contratado da Agência de Segurança Cibernética e de Infraestrutura (CISA) mantinha um repositório GitHub público que expunha credenciais para várias contas AWS GovCloud altamente privilegiadas e um grande número de sistemas CISA internos. Especialistas em segurança disseram que o arquivo público inclui arquivos detalhando como a CISA constrói, testa e implanta software internamente, e que isso representa um dos vazamentos de dados governamentais mais flagrantes da história recente. Em 15 de maio, a KrebsOnSecurity ouviu Guillaume Valadon, pesquisador da empresa de segurança GitGuardian. A empresa de Valadon verifica constantemente os repositórios de código público no GitHub e em outros lugares em busca de segredos expostos, alertando automaticamente as contas infratoras sobre qualquer exposição aparente de dados confidenciais.
Valadon disse que entrou em contato porque o proprietário neste caso não estava respondendo e as informações expostas eram altamente confidenciais. Uma captura de tela editada do agora extinto repositório “Private CISA” mantido por um contratante CISA. O repositório GitHub sinalizado por Valadon foi denominado “Private-CISA” e abrigava um grande número de credenciais e arquivos internos CISA/DHS, incluindo chaves de nuvem, tokens, senhas de texto simples, logs e outros ativos CISA confidenciais. Valadon disse que as credenciais CISA expostas representam um exemplo clássico de má higiene de segurança, observando que os logs de commit na conta GitHub ofensiva mostram que o administrador CISA desativou a configuração padrão no GitHub que impede os usuários de publicar chaves SSH ou outros segredos em repositórios de código público.
“Senhas armazenadas em texto simples em um csv, backups em git, comandos explícitos para desativar o recurso de detecção de segredos do GitHub”, escreveu Valadon por e-mail. "Sinceramente, acreditei que tudo era falso antes de analisar o conteúdo mais profundamente. Este é realmente o pior vazamento que testemunhei em minha carreira. É obviamente um erro individual, mas acredito que pode revelar práticas internas." Um dos arquivos expostos, intitulado “importantAWStokens”, incluía as credenciais administrativas de três servidores Amazon AWS GovCloud.
Outro arquivo exposto em seu repositório público GitHub – “AWS-Workspace-Firefox-Passwords.csv” – listava nomes de usuário e senhas em texto simples para dezenas de sistemas CISA internos. De acordo com Caturegli, esses sistemas incluíam um chamado “LZ-DSO”, que parece abreviação de “Landing Zone DevSecOps”, o ambiente de desenvolvimento de código seguro da agência. Philippe Caturegli, fundador da consultoria de segurança Seralys, disse que testou as chaves da AWS apenas para ver se ainda eram válidas e para determinar quais sistemas internos as contas expostas poderiam acessar. Caturegli disse que a conta do GitHub que expôs os segredos da CISA exibe um padrão consistente com um operador individual usando o repositório como um bloco de notas funcional ou mecanismo de sincronização, em vez de um repositório de projeto com curadoria.
“O uso de um endereço de e-mail associado ao CISA e de um endereço de e-mail pessoal sugere que o repositório pode ter sido usado em ambientes configurados de forma diferente”, observou Caturegli. “Os metadados disponíveis do Git por si só não provam qual endpoint ou dispositivo foi usado.” O repositório privado CISA GitHub expôs dezenas de credenciais de texto simples para recursos importantes do CISA GovCloud. Caturegli disse que validou que as credenciais expostas poderiam ser autenticadas em três contas AWS GovCloud com alto nível de privilégio. Ele disse que o arquivo também inclui credenciais de texto simples para o “artefatório” interno da CISA – essencialmente um repositório de todos os pacotes de código que eles estão usando para construir software – e que isso representaria um alvo atraente para invasores mal-intencionados que procuram maneiras de manter uma posição persistente nos sistemas CISA.
“Esse seria um lugar privilegiado para se mover lateralmente”, disse ele. “Backdoor em alguns pacotes de software, e toda vez que eles constroem algo novo, eles implantam seu backdoor a torto e a direito.” Em resposta a perguntas, um porta-voz da CISA disse que a agência está ciente da exposição relatada e continua investigando a situação. e situação. “Atualmente, não há indicação de que quaisquer dados confidenciais tenham sido comprometidos como resultado deste incidente”, escreveu o porta-voz da CISA.
“Embora exijamos aos membros da nossa equipe os mais altos padrões de integridade e consciência operacional, estamos trabalhando para garantir que proteções adicionais sejam implementadas para evitar ocorrências futuras.” Uma análise da conta GitHub e de suas senhas expostas mostra que o repositório “Private CISA” era mantido por um funcionário da Nightwing, uma empresa contratada pelo governo com sede em Dulles, Virgínia. A CISA não respondeu às perguntas sobre a duração potencial da exposição dos dados, mas Caturegli disse que o repositório privado CISA foi criado em 13 de novembro de 2025. A conta GitHub do contratante foi criada em setembro de 2018. A conta GitHub que incluía o repositório privado CISA foi colocada offline logo depois que KrebsOnSecurity e Seralys notificaram a CISA sobre a exposição.
Mas Caturegli disse que as chaves expostas da AWS inexplicavelmente continuaram válidas por mais 48 horas. A CISA está actualmente a funcionar com apenas uma fracção do seu orçamento normal e dos seus níveis de pessoal. A agência perdeu quase um terço da sua força de trabalho desde o início da segunda administração Trump, que forçou uma série de reformas antecipadas, aquisições e demissões nas várias divisões da agência. O agora extinto repositório Private CISA mostrou que o contratante também usava senhas fáceis de adivinhar para vários recursos internos; por exemplo, muitas das credenciais usavam uma senha que consistia no nome de cada plataforma seguido do ano atual.
Caturegli disse que tais práticas constituiriam uma séria ameaça à segurança para qualquer organização, mesmo que essas credenciais nunca fossem expostas externamente, observando que os agentes da ameaça muitas vezes usam credenciais chave expostas na rede interna para expandir o seu alcance após estabelecerem o acesso inicial a um sistema visado. “O que eu suspeito que aconteceu é que [o contratante CISA] estava usando este GitHub para sincronizar arquivos entre um laptop de trabalho e um computador doméstico, porque ele se compromete regularmente com este repositório desde novembro de 2025”, disse Caturegli. “Isso seria um vazamento embaraçoso para qualquer empresa, mas é ainda mais neste caso porque é CISA.” Esta entrada foi publicada em segunda-feira, 18 de maio de 2026, 16h48. Não sou MAGA nem fã de Trump.
Culpá-lo por isso? #BRUH Onde a responsabilidade para? meh… embora isso seja anedótico (apenas uma pessoa/questão), certamente corrói a confiança na declaração ampla de contratar apenas os melhores. Quando o pesquisador que o encontrou pensa que é tudo falso (talvez um pote de mel?) Porque a exposição é TÃO RUIM, o CISA precisa fazer melhor.
Um melhor financiamento pode ajudar, a administração anterior queria aumentar o financiamento da CISA, a administração actual está a diminuir o financiamento da CISA. Você recebe o que você paga? Toda a agência é um desperdício boomdoggl. Isto recai diretamente sobre a administração Trump por demitir trabalhadores valiosos no setor de segurança cibernética.
Está absolutamente relacionado. Você recebe o que você paga. Se um presidente dá liberdade às pessoas para destruir e enfraquecer intencionalmente os recursos do governo federal destinados a proteger e gerir este tipo de coisas, então sim, ele é o culpado. Diretamente.
Não há dúvidas sobre isso. Leve seu material superdefensivo do MAGA para uma página da Fox “News” no Facebook, onde será apreciado por aqueles que não conhecem nada melhor. A agência de segurança cibernética do governo dos Estados Unidos comete um dos maiores erros possíveis para iniciantes em segurança cibernética? Se não fosse a administração Trump, eu chamaria Fake News.
Isto não é surpreendente, embora ainda seja importante. O que mais me impressionou é o facto de que estas coisas acontecem muito provavelmente devido ao constante desfinanciamento, desrecursos e despriorização… é o mesmo que nas empresas privadas/empresas públicas, quando cortam as coisas até ao osso, estes resultados são previsíveis/previsíveis. O que é mais irritante do que tudo é que esta é a agência (CISA) que deveria informar ao (resto da) indústria Como fazer a segurança... bem, comece a limpar sua própria bagunça antes de dizer aos outros para fazer isso, provavelmente é um bom conselho para eles.
Isso era tão tristemente previsível. A actual administração mobilizou ingénuos em matéria de segurança através do DOGE para vasculhar registos confidenciais dos contribuintes e depois brincou com o financiamento da CISA sem qualquer agenda aparente, excepto para semear perturbação e confusão. Entretanto, a CISA disponibiliza verificações de vulnerabilidades valiosas e económicas a organizações afiliadas a qualquer um dos 16 sectores económicos críticos, incluindo escolas do ensino básico e secundário e os seus fornecedores de tecnologia. Eu questiono, no entanto, por que alguém com experiência em segurança usaria nomes de arquivos como “tokens importantes da AWS” ou “senhas de espaço de trabalho da AWS”.
Você está brincando comigo? O contratante deve fornecer aos seus funcionários treinamento que inclua convenções de nomenclatura. Um pouco de ofuscação pode ser útil. O fato é que também foram incluídas no repositório Private-CISA todas as certificações que esse cara obteve em treinamento de segurança.
Ele passou por uma dúzia de cursos diferentes com louvor. Eu chamo isso como eu vejo. DORES CRESCENTES. Já sabemos que .gov geralmente está atrasado em TI.
Isso não é resultado de cortes orçamentários, mas de um indivíduo completamente incompetente que teve acesso a informações que claramente não eram confiáveis para gerenciar. Além disso, esse nível básico de segurança é conhecido desde os primórdios da Internet e até antes. Até meu pai de 90 anos sabe como proteger suas informações. A política e as práticas para evitar este tipo de violação deveriam estar em vigor há mais de 40 anos.
Os cortes orçamentais podem levar a que todos tenham recursos e trabalho extra, o que (na minha experiência) pode causar situações em que pessoas não qualificadas para lidar com a informação acabem com ela nas mãos. Não vimos esse tipo de coisa acontecer até que os recursos foram cortados. É coincidência? É incrível ver a CISA publicar edição após edição, mas nada além de grilos em sua própria roupa suja 🙁 Seu endereço de e-mail não será publicado.
Os campos obrigatórios estão marcados * Comentário * Nome * E-mail * Site Δ Pesquisa na lista de discussão KrebsOnSecurity Postagens recentes Categorias de histórias Por que tantos hackers importantes vêm da Rússia