Исполнительное агентство по кибербезопасности и инфраструктуре (CISA) попало в скандал из-за огромной утечки данных в публичном репозитории GitHub под названием Private-CISA. До прошлых выходных аккаунт подрядчика агентства хранил открытыми сотни конфиденциальных материалов, включая ключи доступа к облачным серверам AWS GovCloud, токены и текстовые пароли к внутренним системам. Исследователь компании GitGuardian Гуillaume Valadon обратил на это внимание после того, как владельцы аккаунта не отреагировали на его предупреждения. Он назвал это событие худшей утечкой за свою карьеру, отметив грубые ошибки в безопасности: пароли лежали в текстовом виде, а защиту от публикаций секрентов на GitHub вообще отключили. Среди обнаруженных файлов оказался список учетных данных для десятков внутренних систем, включая среду разработки LZ-DSO.
Специалисты из консультантов Seralys, которые проверили утекшие ключи, обнаружили, что они давали права на администрирование трех высокопривилегированных аккаунтов в AWS GovCloud. Доступ также открывался к внутреннему Artifactory-репозиторию с программным кодом, что позволяло злоумышленникам незаметно внедрять бэкдоры в новые пакеты перед их развертыванием. Эксперты предположили, что аккаунт использовался оператором как рабочая записная книжка для синхронизации файлов между рабочим ноутбуком и домашним компьютером, что подтверждается регулярными коммитами с ноября 2025 года. Несмотря на то, что аккаунт в GitHub заблокировали быстро, ключи AWS оставались рабочими еще сорок восемь часов. CISA заявило, что пока нет подтверждений реальной кражи данных, но работает над внедрением дополнительных мер защиты.
Ситуация усугубляется тем, что агентство работает с уменьшенным штатом и бюджетом, потеряв почти треть персонала в период начала администрации Трампа. Кроме того, внутренние файлы раскрывали использование легко угадываемых паролей, где имя платформы сочеталось с текущим годом. Такие практики создают серьезные риски даже без внешней утечки, так как злоумышленники часто используют скомпрометированные учетные данные внутри сети для горизонтального перемещения. Подрядная организация Nightwing из штата Вирджиния отказалась комментировать инцидент, перекинув вопросы обратно в CISA. Утечка, созданная человеком, стала для агентства двойным ударом на фоне кризиса в персональном составе.