En stor sikkerhedshændelse med forbindelse til den amerikanske cybersikkerhedsmyndighed CISA har skabt bekymring i hele cybersikkerhedsbranchen. Forskere opdagede et offentligt GitHub-repository, som indeholdt adgangskoder i klartekst, AWS GovCloud-tokens, interne deployeringsfiler og autentificeringsoplysninger knyttet til CISA’s infrastruktur.
Repositoryet lå ifølge rapporter offentligt tilgængeligt i flere måneder, før forskere fik det fjernet. Sikkerhedseksperter beskriver hændelsen som et alvorligt svigt i operationel sikkerhed hos en af USA’s vigtigste cybersikkerhedsmyndigheder.
Offentligt GitHub-repository indeholdt følsomme oplysninger
Forskere fra GitGuardian opdagede et offentligt GitHub-repository med navnet “Private-CISA”, som angiveligt eksponerede omkring 844 MB følsomme interne data. Repositoryet indeholdt blandt andet adgangskoder i klartekst, AWS GovCloud-legitimationsoplysninger, autentificeringstokens, Entra ID SAML-certifikater og interne driftsfiler knyttet til CISA-systemer.
Efterforskere fandt også Kubernetes-manifester, Terraform-konfigurationer, CI/CD-logs, GitHub Actions-workflows, infrastrukturscripts og backupdokumentation. Forskerne mener, at filerne gav usædvanligt detaljeret indsigt i cloudinfrastruktur og deployeringsprocesser knyttet til amerikanske myndighedssystemer.
GitGuardians forsker Guillaume Valadon troede først, at repositoryet var falsk, fordi de følsomme oplysninger lå så åbent tilgængelige. Yderligere undersøgelser bekræftede dog, at materialet var ægte.
Rapporter viser, at repositoryet havde været offentligt tilgængeligt siden november 2025, før det endelig blev fjernet i maj 2026.
Svage rutiner øgede sikkerhedsrisikoen
Forskere oplyste, at repositoryet viste flere eksempler på dårlig håndtering af autentificeringsoplysninger. Nogle adgangskoder fulgte ifølge rapporterne forudsigelige navnestrukturer baseret på platformnavne og kalenderår.
Lækket indeholdt også regneark med brugernavne og adgangskoder i klartekst til interne systemer. Forskerne hævdede desuden, at GitHubs hemmelighedsscanning var deaktiveret for repositoryet, hvilket forhindrede automatiske advarsler om eksponerede legitimationsoplysninger.
Sikkerhedseksperter advarede om, at angribere potentielt kunne have fået adgang til cloudinfrastruktur, interne repositories, CI/CD-systemer og deployeringsmiljøer i perioden, hvor repositoryet lå åbent.
Flere legitimationsoplysninger skal desuden have været aktive, efter repositoryet blev fjernet.
Kobling til konsulentfirma skaber flere spørgsmål
Rapporter koblede repositoryet til en konsulent med forbindelse til CISA-relaterede projekter. Ifølge cybersikkerhedsjournalisten Brian Krebs blev repositoryet angiveligt administreret af en medarbejder hos det Virginia-baserede konsulentfirma Nightwing.
Forskerne forsøgte flere gange at kontakte repositoryets ejer, før de eskalerede sagen gennem CERT/CC og offentlige kommunikationskanaler. GitGuardian oplyste, at repositoryet til sidst blev fjernet cirka 26 timer efter, at oplysningerne nåede direkte frem til CISA.
CISA bekræftede senere, at myndigheden kendte til hændelsen og oplyste, at efterforskere ikke havde fundet tegn på ondsindet udnyttelse af de lækkede filer. Myndigheden meddelte også, at den vil indføre yderligere sikkerhedsforanstaltninger for at forhindre lignende hændelser fremover.
Lækket viser større problemer inden for cloudsikkerhed
CISA-lækket på GitHub fremhæver bredere sikkerhedsproblemer knyttet til cloudinfrastruktur, softwareforsyningskæder og automatiserede deployeringssystemer. Offentlige repositories fortsætter med at eksponere hemmeligheder, API-nøgler, autentificeringstokens og følsomme konfigurationsfiler på tværs af både offentlig og privat sektor.
Forskere advarede om, at lækkede infrastrukturfiler stadig kan give angribere værdifuld indsigt, selv hvis legitimationsoplysningerne senere bliver ugyldige. Interne workflows, deployeringsstrukturer og konfigurationsdetaljer kan hjælpe angribere med at kortlægge miljøer og identificere fremtidige angrebsveje.
Hændelsen viser også, hvordan menneskelige fejl og svage sikkerhedsrutiner fortsat skaber store cybersikkerhedsrisici trods avancerede forsvarssystemer.
Konklusion
CISA-lækket på GitHub eksponerede adgangskoder i klartekst, AWS-tokens og følsomme infrastrukturfiler gennem et offentligt repository, som ifølge rapporter lå åbent i flere måneder. Forskere beskriver hændelsen som et alvorligt svigt i operationel sikkerhed med forbindelse til kritiske myndighedssystemer.
Sagen understreger samtidig den voksende bekymring omkring håndtering af legitimationsoplysninger, kontrol med konsulenter og sikkerheden i cloudmiljøer. Efterhånden som organisationer bliver mere afhængige af automatiseret infrastruktur og cloudtjenester, fortsætter eksponerede repositories med at skabe alvorlige risici i cybersikkerhedslandskabet.
0 svar til “CISA-læk på GitHub eksponerede AWS-tokens og adgangskoder”