Исследователи заметили, что американское Агентство по кибербезопасности и защите инфраструктуры (CISA) оставило открытым GitHub-репозиторий с огромным объемом конфиденциальных данных. Внутри обнаружились пароли открытым текстом, приватные SSH-ключи, токены AWS, конфигурации Kubernetes, Terraform-код, сертификаты Entra ID и другие секреты, связанные с внутренней инфраструктурой ведомства.
Репозиторий с говорящим названием Private-CISA был доступен публично как минимум с ноября 2025 года. Первым на проблему обратил внимание специалист компании GitGuardian Гийом Валадон (Guillaume Valadon), который обнаружил утечку во время автоматического сканирования GitHub. По его словам, в репозитории находилось около 844 Мбайт материалов, связанных с инфраструктурой CISA.
Сначала Валадон решил, что обнаружил некую приманку, так как названия директорий выглядели слишком подозрительно. К примеру: All Backups, Kubernetes-Important-Yaml-Files или ENTRA ID - SAML Certificates. Не менее красноречивыми были и имена файлов: Important AWS Tokens.txt, AWS-Workspace-Firefox-Passwords.csv, Kube-Config.txt и external-secret-repo-creds.yaml.
Однако проверка показала, что данные настоящие. Так, основатель компании Seralys Филипп Катурегли (Philippe Caturegli) сообщил, что сумел использовать найденные учетные данные для доступа к нескольким AWS GovCloud-аккаунтам с высокими привилегиями.
По данным известного ИБ-журналиста Брайана Кребса (Brian Krebs), репозиторий, вероятно, поддерживал подрядчик CISA — компания Nightwing. При этом логи коммитов указывают, что в репозитории были отключены встроенные механизмы GitHub для обнаружения секретов. То есть защиту, которая как раз должна предотвращать подобные утечки, кто-то отключил вручную.
Валадон пишет, что сначала попытался уведомить CISA об утечке через CERT/CC, однако получил лишь автоматический ответ. После этого он связался с Брайаном Кребсом, и вскоре репозиторий стал недоступен.
Представители CISA подтвердили СМИ, что расследуют инцидент, однако в ведомстве заявили, что пока не обнаружили признаков компрометации данных. В GitGuardian тоже подчеркивают, что им неизвестно о злоупотреблении случайно утекшими ключами и токенами.
Исследователи подчеркивают, что проблема не ограничивается самим фактом публикации секретов. Репозиторий представлял собой настоящий концентрат небезопасных практик: пароли в открытом виде, бэкапы в Git, приватные ключи и отключение встроенной защиты GitHub от утечек. Кроме того, коммиты в репозитории выполнялись одновременно с email-адреса подрядчика CISA и личной почты Yahoo, а сам репозиторий был создан через персональный GitHub-аккаунт.
По словам Валадона, сочетание этих факторов открывало двери для широкого спектра атак — от вымогательских операций до скрытого проникновения в CI/CD-инфраструктуру ведомства. Больше всего исследователя обеспокоила возможность долгосрочного присутствия злоумышленников в цепочке разработки и администрирования CISA.
Отметим, что это уже не первый громкий ИБ-инцидент, связанный с CISA, за последнее время. Так, в январе 2026 года исполняющий обязанности директора CISA Мадху Готтумуккала (Madhu Gottumukkala) загрузил в ChatGPT служебные правительственные документы. В феврале 2026 года Готтумуккала отстранили от должности.
