Подрядчик CISA (Агентства по кибербезопасности и защите инфраструктуры США) выложил секретные ключи доступа к AWS GovCloud и десятки других внутренних данных на публичный GitHub. Аккаунт назывался Private-CISA. KrebsOnSecurity выяснил, что подрядчик сам отключил встроенную защиту GitHub от публикации чувствительных данных в открытых репозиториях.
Эксперты, изучившие репозиторий, сказали, что он был создан ещё в ноябре 2025 года и использовался как личная синхронизация, а не как проект. CISA подтвердила утечку, но заявила, что «нет признаков компрометации данных». В Конгрессе с этим не согласились.
Сенатор Мэгги Хассан (D-NH) направила письмо и.о. директора CISA Нику Андерсену. Она потребовала ответить на дюжину вопросов о том, как такой провал мог произойти в агентстве, которое само должно предотвращать утечки. Хассан подчеркнула, что инцидент случился на фоне массового сокращения штата CISA — администрация Трампа выдавила больше трети сотрудников и почти всё руководство.
Член Палаты представителей Бенни Томпсон (D-MS) назвал ситуацию отражением «ослабленной культуры безопасности» и неспособности CISA управлять своими подрядчиками. Он напомнил, что противники вроде Китая, России и Ирана «ищут доступ к федеральным сетям», а репозиторий дал им карту.
Через неделю после уведомления KrebsOnSecurity и компании GitGuardian CISA всё ещё не отозвала многие ключи. Создатель утилиты TruffleHog Дилан Эйри нашёл в репозитории незаблокированный RSA-ключ от GitHub-приложения CISA. Этот ключ давал полный доступ ко всем репозиториям организации CISA-IT, включая возможность красть исходники, перехватывать CI/CD-пайплайны и менять настройки безопасности.
CISA отозвала этот RSA-ключ только после повторного уведомления от KrebsOnSecurity. Но, по словам Эйри, другие критически важные ключи остались активными. Представитель CISA ответил кратко: «Мы активно работаем с подрядчиками и вендорами».
Эксперты по безопасности отметили, что злоумышленники мониторят тот же публичный канал GitHub, что и честные сканеры утечек. Самый опасный слив данных из Private-CISA произошёл в конце апреля 2025 года — скорее всего, атакующие уже получили доступ.
Ведущие подкаста Risky Business сошлись на том, что техническими блокировками эту проблему не решить. Адам Буало заявил: «Это человеческая проблема. Подрядчик сам решил использовать личный GitHub для синхронизации между рабочей и домашней машиной. CISA об этом даже не знала».