Ein schwerwiegender Sicherheitsvorfall im Zusammenhang mit der US-Cybersicherheitsbehörde CISA hat in der gesamten Cybersicherheitsbranche Besorgnis ausgelöst. Forscher entdeckten ein öffentliches GitHub-Repository, das Klartext-Passwörter, AWS-GovCloud-Tokens, interne Deployment-Dateien und Authentifizierungsdaten im Zusammenhang mit der CISA-Infrastruktur enthielt.
Das Repository war Berichten zufolge monatelang öffentlich zugänglich, bevor Forscher dessen Entfernung erreichten. Sicherheitsexperten bezeichnen den Vorfall als schweres Versagen der operativen Sicherheit bei einer der wichtigsten Cybersicherheitsbehörden der USA.
Öffentliches GitHub-Repository enthielt sensible Daten
Forscher von GitGuardian entdeckten ein öffentliches GitHub-Repository mit dem Namen „Private-CISA“, das angeblich rund 844 MB sensibler interner Daten offenlegte. Das Repository enthielt unter anderem Klartext-Passwörter, AWS-GovCloud-Zugangsdaten, Authentifizierungstokens, Entra-ID-SAML-Zertifikate und interne Betriebsdateien im Zusammenhang mit CISA-Systemen.
Die Ermittler fanden außerdem Kubernetes-Manifeste, Terraform-Konfigurationen, CI/CD-Logs, GitHub-Actions-Workflows, Infrastruktur-Skripte und Backup-Dokumentationen. Laut den Forschern ermöglichten die Dateien einen ungewöhnlich detaillierten Einblick in Cloud-Infrastrukturen und Deployment-Prozesse von US-Behördensystemen.
GitGuardian-Forscher Guillaume Valadon hielt das Repository zunächst für gefälscht, weil die sensiblen Informationen so offen zugänglich waren. Weitere Untersuchungen bestätigten jedoch die Echtheit des Materials.
Berichten zufolge war das Repository seit November 2025 öffentlich zugänglich, bevor es im Mai 2026 schließlich entfernt wurde.
Schwache Sicherheitspraktiken erhöhten das Risiko
Die Forscher erklärten, dass das Repository mehrere Beispiele für mangelhafte Verwaltung von Zugangsdaten zeigte. Einige Passwörter folgten angeblich vorhersehbaren Namensmustern auf Basis von Plattformnamen und Kalenderjahren.
Das Leak enthielt zudem Tabellen mit Benutzernamen und Passwörtern im Klartext für interne Systeme. Die Forscher behaupteten außerdem, dass GitHubs Secret-Scanning-Schutz für das Repository deaktiviert gewesen sei, wodurch automatische Warnungen über offengelegte Zugangsdaten ausblieben.
Sicherheitsexperten warnten davor, dass Angreifer während der Offenlegung möglicherweise Zugriff auf Cloud-Infrastrukturen, interne Repositories, CI/CD-Systeme und Deployment-Umgebungen hätten erhalten können.
Einige Zugangsdaten sollen Berichten zufolge sogar nach der Entfernung des Repositorys weiterhin aktiv geblieben sein.
Verbindung zu Auftragnehmer wirft weitere Fragen auf
Berichte brachten das Repository mit einem Auftragnehmer in Verbindung, der an CISA-Projekten beteiligt war. Laut Cybersicherheitsjournalist Brian Krebs wurde das Repository angeblich von einem Mitarbeiter des in Virginia ansässigen Regierungsauftragnehmers Nightwing verwaltet.
Die Forscher versuchten laut Berichten mehrfach, den Besitzer des Repositorys zu kontaktieren, bevor sie den Vorfall über CERT/CC und staatliche Kommunikationskanäle eskalierten. GitGuardian erklärte, dass das Repository schließlich etwa 26 Stunden nach direkter Kontaktaufnahme mit CISA-Verantwortlichen entfernt wurde.
CISA bestätigte später den Vorfall und erklärte, dass die Ermittler bislang keine Hinweise auf eine missbräuchliche Nutzung der geleakten Dateien gefunden hätten. Die Behörde kündigte außerdem zusätzliche Sicherheitsmaßnahmen an, um ähnliche Vorfälle künftig zu verhindern.
Leak zeigt größere Probleme bei Cloud-Sicherheit
Das CISA-Leak auf GitHub verdeutlicht breitere Sicherheitsprobleme im Zusammenhang mit Cloud-Infrastrukturen, Software-Lieferketten und automatisierten Deployment-Systemen. Öffentliche Repositories legen weiterhin Geheimnisse, API-Schlüssel, Authentifizierungstokens und sensible Konfigurationsdateien sowohl im öffentlichen als auch im privaten Sektor offen.
Forscher warnten, dass geleakte Infrastrukturdateien selbst dann wertvolle Informationen liefern können, wenn Zugangsdaten später ungültig werden. Interne Workflows, Deployment-Strukturen und Konfigurationsdetails könnten Angreifern helfen, Umgebungen zu analysieren und zukünftige Angriffswege zu identifizieren.
Der Vorfall zeigt außerdem, wie menschliche Fehler und schwache Sicherheitspraktiken trotz moderner Schutztechnologien weiterhin erhebliche Cybersicherheitsrisiken verursachen.
Fazit
Das CISA-Leak auf GitHub legte Klartext-Passwörter, AWS-Tokens und sensible Infrastrukturdateien über ein öffentliches Repository offen, das Berichten zufolge monatelang online verfügbar war. Forscher bezeichnen den Vorfall als schwerwiegendes Versagen der operativen Sicherheit im Zusammenhang mit kritischen Regierungssystemen.
Der Fall verstärkt zudem die wachsenden Sorgen rund um Zugangsdatenverwaltung, Kontrolle externer Auftragnehmer und Cloud-Sicherheitspraktiken. Da Organisationen zunehmend auf automatisierte Infrastrukturen und Cloud-Dienste setzen, stellen offengelegte Repositories weiterhin ein ernstes Risiko für die Cybersicherheitslandschaft dar.
0 Kommentare zu „CISA-Leak auf GitHub legte AWS-Tokens und Passwörter offen“