Fri, 22 May 2026
← VoltarUm contratante da CISA expôs chaves AWS GovCloud e segredos de agências no GitHub público, arriscando uma violação generalizada.
Legisladores em ambas as casas do Congresso estão exigindo respostas da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) depois que KrebsOnSecurity relatou esta semana que um contratante da CISA publicou intencionalmente chaves AWS GovCloud e um vasto tesouro de segredos de outras agências em uma conta pública do GitHub. A investigação ocorre no momento em que a CISA ainda luta para conter a violação e invalidar as credenciais vazadas. Em 18 de maio, KrebsOnSecurity informou que um contratante CISA com acesso administrativo à plataforma de desenvolvimento de código da agência criou um perfil público no GitHub chamado “Private-CISA” que incluía credenciais de texto simples para dezenas de sistemas CISA internos. Especialistas que analisaram os segredos expostos disseram que os logs de commit do repositório de código mostraram que o contratante CISA desativou a proteção integrada do GitHub contra a publicação de credenciais confidenciais em repositórios públicos.
A CISA reconheceu o vazamento, mas não respondeu às perguntas sobre a duração da exposição dos dados. No entanto, os especialistas que analisaram o agora extinto arquivo Private-CISA disseram que ele foi originalmente criado em novembro de 2025 e que exibe um padrão consistente com um operador individual usando o repositório como um bloco de notas funcional ou mecanismo de sincronização, em vez de um repositório de projeto com curadoria. Numa declaração escrita, a CISA afirmou que “não há indicação de que quaisquer dados sensíveis tenham sido comprometidos como resultado do incidente”. Mas numa carta (PDF) de 19 de maio ao diretor interino da CISA, Nick Andersen, a senadora Maggie Hassan (D-NH) disse que a fuga de credenciais levanta sérias questões sobre como tal falha de segurança poderia ocorrer na própria agência encarregada de ajudar a prevenir violações cibernéticas.
“Este relatório levanta sérias preocupações em relação às políticas e procedimentos internos da CISA num momento de ameaças significativas à segurança cibernética contra a infraestrutura crítica dos EUA”, escreveu o senador Hassan. Uma carta de 19 de maio da senadora Margaret Hassan (D-NH) ao diretor interino da CISA exigia respostas a uma dúzia de perguntas sobre a violação. O senador Hassan observou que o incidente ocorreu num contexto de grandes perturbações internas na CISA, que perdeu mais de um terço da sua força de trabalho e quase todos os seus líderes seniores depois de a administração Trump ter forçado uma série de reformas antecipadas, aquisições e demissões nas várias divisões da agência. O deputado Bennie Thompson (D-MS), membro graduado do Comitê de Segurança Interna da Câmara, ecoou as preocupações do senador.
“Estamos preocupados que este incidente reflita uma cultura de segurança diminuída e/ou uma incapacidade da CISA de gerenciar adequadamente seu suporte contratual”, escreveu Thompson em uma carta de 19 de maio ao chefe interino da CISA, co-assinada pela Rep. Delia Ramirez (D-Ill), membro graduado do Subcomitê de Segurança Cibernética e Proteção de Infraestrutura do painel. "Não é nenhum segredo que os nossos adversários - como a China, a Rússia e o Irão - procuram obter acesso e persistência nas redes federais. Os ficheiros contidos no repositório 'Private-CISA' forneceram a informação, o acesso e o roteiro para fazer exatamente isso." KrebsOnSecurity descobriu que mais de uma semana depois que a CISA foi notificada pela primeira vez sobre o vazamento de dados pela empresa de segurança GitGuardian, a agência ainda está trabalhando para invalidar e substituir muitas das chaves e segredos expostos.
Em 20 de maio, KrebsOnSecurity ouviu Dylan Ayrey, criador do TruffleHog, uma ferramenta de código aberto para descobrir chaves privadas e outros segredos enterrados em código hospedado no GitHub e outras plataformas públicas. Ayrey disse que a CISA ainda não invalidou uma chave privada RSA exposta no repositório Private-CISA que concedeu acesso a um aplicativo GitHub que pertence à conta corporativa CISA e instalado na organização CISA-IT GitHub com acesso total a todos os repositórios de código. “Um invasor com esta chave pode ler o código-fonte de todos os repositórios da organização CISA-IT, incluindo repositórios privados, registrar executores auto-hospedados desonestos para sequestrar pipelines de CI/CD e acessar segredos do repositório, e modificar as configurações de administração do repositório, incluindo farelo ch, webhooks e chaves de implantação”, disse Ayrey ao KrebsOnSecurity. CI/CD significa Integração Contínua e Entrega Contínua e se refere a um conjunto de práticas usadas para automatizar a construção, teste e implantação de software.
KrebsOnSecurity notificou a CISA sobre as descobertas de Ayrey em 20 de maio. Ayrey disse que a CISA parece ter invalidado a chave privada RSA exposta algum tempo depois dessa notificação. Mas ele observou que a CISA ainda não alterou o vazamento. credenciais vinculadas a outras tecnologias de segurança críticas implantadas em todo o portfólio de tecnologia da agência (KrebsOnSecurity não está nomeando essas tecnologias publicamente por enquanto).
A CISA respondeu com uma breve declaração por escrito em resposta a perguntas sobre as descobertas de Ayrey, dizendo “A CISA está respondendo e coordenando ativamente com as partes e fornecedores apropriados para garantir que quaisquer credenciais vazadas identificadas sejam rotacionadas e invalidadas e continuará a tomar as medidas apropriadas para proteger a segurança de nossos sistemas”. Ayrey disse que sua empresa, Truffle Security, monitora o GitHub e uma série de outras plataformas de código em busca de chaves expostas e tenta alertar as contas afetadas sobre a(s) exposição(ões) de dados confidenciais. Eles podem fazer isso facilmente no GitHub porque a plataforma publica um feed ao vivo que inclui um registro de todos os commits e alterações em repositórios de código público. Mas ele disse que os cibercriminosos também monitoram esses feeds públicos e muitas vezes são rápidos em atacar chaves API ou SSH que são publicadas inadvertidamente em commits de código.
O repositório GitHub Private-CISA expôs dezenas de credenciais de texto simples para recursos importantes do CISA GovCloud. Em termos práticos, é provável que grupos de crimes cibernéticos ou adversários estrangeiros também tenham notado a publicação destes segredos da CISA, o mais flagrante dos quais parece ter acontecido no final de Abril de 2026, disse Ayrey. “Monitoramos esse conjunto de dados em busca de chaves e temos ferramentas para tentar descobrir de quem são”, disse ele. “Temos evidências de que os invasores também monitoram a mangueira de incêndio.
Qualquer pessoa que monitore eventos do GitHub pode estar baseada nessas informações.” James Wilson, editor de tecnologia empresarial do podcast de segurança Risky Business, disse que as organizações que usam o GitHub para gerenciar projetos de código podem definir políticas de cima para baixo que impedem os funcionários de desabilitar as proteções do GitHub contra a publicação de chaves e credenciais secretas. Mas o co-apresentador de Wilson, Adam Boileau, disse que não está claro se qualquer tecnologia poderia impedir os funcionários de abrir sua própria conta pessoal no GitHub e usá-la para armazenar informações confidenciais e proprietárias. “Em última análise, isso é algo que você não pode resolver com um controle técnico”, disse Boileau no podcast desta semana. “Este é um problema humano onde você contratou um empreiteiro para fazer este trabalho e ele decidiu por sua própria vontade usar o GitHub para sincronizar o conteúdo de uma máquina de trabalho para uma máquina doméstica.
Não sei quais controles técnicos você poderia implementar, visto que isso está sendo feito, presumivelmente, fora de qualquer coisa gerenciada pela CISA ou mesmo sobre a qual tenha visibilidade.” Atualização, 15h05. ET: Adicionada declaração da CISA. Corrigida uma data na história (a Truffle Security disse que descobriu que o repo ganhou alguns de seus segredos mais confidenciais no final de abril de 2026, não em 2025). Esta entrada foi publicada na sexta-feira, 22 de maio de 2026, 12h34.
GitHub Enterprise oferece suporte à injeção de cabeçalho HTTP de seu ID de organização GHE em um proxy corporativo (ou governamental) para impor/evitar que usuários corporativos pessoais ou não gerenciados do GitHub possam exfiltrar ou confirmar qualquer código/arquivos/documentos do ambiente corporativo. Isso faz parte do guia de reforço do GHE sobre bloqueio de contas pessoais (restringindo o acesso ao githubcom usando um proxy corporativo). Isso indica que a CISA não reforçou sua organização GHE ou indica que os contratantes do CISA não estão restritos por coisas simples como clientes de acesso privado ou proxies? Quem colocou os policiais fundamentais no comando.
JFC Você vota em um palhaço. Você consegue o que merece. Isso é verdade. Assim como o último cara.
Exceto isso não foi o último cara. O último cara demitiu a gerência sênior da CISA e reduziu o pessoal em um terço ou foram você e Musk? Muito verdade. Assim como aquele último cara.
Isso é simples (rima com “ele cardou”). Alguém tentou determinar se alguém realmente acessou ou usou alguma das credenciais ou chaves ou modificou algum código, configuração ou biblioteca? Ou determinar se o contratante da CISA é capaz de fazer a avaliação? Se o cara da Truffle Security os viu, é inteligente presumir que os russos, chineses, iranianos, etc., também os viram.
Os dois pontos principais aqui são 1) Lapsos de segurança podem acontecer com qualquer pessoa 2) Os humanos são sempre o elo mais fraco. Isso é tudo. Aprenda com isso. Ir em frente.
Você esqueceu 3) não expurgue funcionários confiáveis e contrate prestadores de serviços não qualificados para fazer trabalho de segurança nacional. Além disso, eles são uma agência governamental, provavelmente com orçamento limitado, como todos, para resolver problemas que sabem que precisam ser resolvidos. É aqui que a parceria público-privada poderia brilhar com a Fortune 500. Por que desenvolver se você nunca terá recursos para as ferramentas e procedimentos de empresas multibilionárias?
Certifique-se de voltar quando a próxima violação corporativa acontecer em uma dessas empresas da Fortune 500, ok? Achei que um trecho disso foi postado no x-twitter, mas agora não consigo encontrá-lo e não consigo encontrar a conta Krebs on Security…. Isso é perturbador em mais de um aspecto. Certamente estamos perturbados com a divulgação de todos esses registros de PII.
Mas acredito que o problema mais insidioso de longo prazo é o esvaziamento da força de trabalho civil federal. Essas são as pessoas que verificaram a conformidade com zilhões de requisitos federais de segurança cibernética. O problema é que todos foram demitidos ou pediram demissão na primavera do ano passado. E agora?
Quem nos protegerá? Pete Hegseth? Dá um tempo. Todas aquelas bobagens confusas de hipertestosterona que ele vomita sobre a guerra.
Isto é guerra e o Pete não pode fazer nada a respeito. A incompetência desta administração é simplesmente incrível. Quero dizer, o que mais você espera quando elimina o sistema dos profissionais experientes e o substitui por sim-homens que ganham dinheiro? Embora eu discorde da afirmação de que os adversários dos EUA possam se beneficiar com esse vazamento.
Eles não precisam. Eles têm um caminho muito mais fácil para obter informações muito mais interessantes do próprio comandante-em-chefe e diretamente da maior parte de seu estado-maior. Veja as ações atuais desta administração. Eles não agem como agentes ruzzianos?
Eles nem mesmo escondem isso. Então, por que vasculhar o tesouro de dados vazados quando você pode comprar a criptomoeda dele e ele mesmo lhe dará acesso? “um contratante CISA com acesso administrativo à plataforma de desenvolvimento de código da agência criou um perfil público no GitHub chamado “Private-CISA” que incluía credenciais de texto simples para dezenas de sistemas CISA internos… os logs de commit para o repositório de código mostraram que o contratante CISA desativou a proteção integrada do GitHub contra a publicação de credenciais confidenciais em repositórios públicos.” Como isso pode ser visto como algo diferente de intencional? E acho divertida a sua inclinação partidária.
Não sou fã de quaisquer criminosos de duas caras que ocupem o “nosso” governo, por isso sou apartidário quando pergunto quem era o presidente quando Snowden fez o que queria? Snowden fez isso. Claro! Em vez disso, todos nós temos prestado atenção a um presidente impotente, tolos que somos.
>> Como isso pode ser visto como algo diferente de intencional? A navalha de Hanlon: “Nunca atribua à malícia aquilo que é adequadamente explicado pela estupidez”. Pela informação que é pública, nem a malícia nem a estupidez podem ser descartadas. Claro, se o FBI não abriu imediatamente uma investigação potencialmente criminal quando a notícia foi divulgada, então eles sairão para almoçar.
Ficarei curioso para ver se alguma acusação será apresentada, mesmo que tenha sido apenas estupidez. E espero que a CISA tenha a decência de eventualmente anunciar que o culpado perdeu o emprego e qualquer autorização que pudesse ter tido. Não vou prender a respiração para que cancelem o contrato. Sempre fui fã de Krebs e é isso que acontece quando você remova Krebs da CISA e da segurança governamental!
Chris Krebs é um Deus entre os homens! “criou um perfil público no GitHub chamado “Private-CISA” ” Esta declaração por si só é suficiente para mostrar que foi intencional. Ninguém neste negócio é tão incompetente. A pessoa que criou isso deve ser processada em toda a extensão da lei.
O TDS é real, e há pessoas por aí que paralisariam a América se isso significasse fazer Trump ficar mal. Eu não me importo com a sua política, se Trump falhar, a América falha, não, Trump falhou e não tem conceito nem preocupação com segurança. Esses são conceitos separados. Ser burro é mais uma escolha do que não.
“se Trump falhar, a América falha” Bem, Trump falha. Sua conclusão pode acabar sendo verdadeira, mas não pelas razões que você parece pensar. Na verdade, é bastante surpreendente ver magats como você desculparem a pedofilia ou o fascismo apenas exclamando “mas e os democratas?”. Aprenda um pouco de pensamento crítico.
Você votou em: PEDÓFILO FASCISTA ESTUPRADOR CRIMINAL Ele está literalmente enriquecendo a si mesmo e a sua família com o dinheiro dos seus impostos à vista de todos enquanto desmonta a Casa Branca e a reconstrói à sua imagem literal. Inferno, os cristãos ofereceram literalmente uma estátua de ouro em violação direta do seu “texto sagrado”. Vocês, idiotas, estão além da reconciliação. Este é um relatório muito interessante e detalhado sobre o vazamento de dados da CISA.
Obrigado pela tão necessária transparência e jornalismo investigativo. A CISA provavelmente não sabe o que há em qualquer vazamento. Essa agência é um desperdício total. Publica relatórios que ninguém lê.
Supõe-se que proteja o espaço .gov, mas os CISOs de cada agência não prestam atenção ao que a CISA pensa ou faz e querem mais orçamento. Publica vulnerabilidades, que são essencialmente roteiros para hackear um sistema. A CISA não pode converter publicações em execução porque lhe falta o incentivo, o castigo e o conhecimento geral. Continue cortando toda a agência, junto com o DHS, que faz essencialmente o mesmo, e o DOJ/FBI.
É um enorme desperdício. Acordado. Eles fornecem um roteiro para hackers, de fato, como se as publicações fossem criptografadas e ocultadas dos adversários. Apenas não entenda.
Seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados * Comentário * Nome * E-mail * Site Δ Pesquisa na lista de discussão KrebsOnSecurity Postagens recentes Categorias de histórias Por que tantos hackers importantes vêm da Rússia