En stor sikkerhetshendelse knyttet til USAs cybersikkerhetsmyndighet CISA har skapt uro i hele cybersikkerhetsbransjen. Forskere oppdaget et offentlig GitHub-repository som inneholdt passord i klartekst, AWS GovCloud-tokener, interne deployeringsfiler og autentiseringsopplysninger knyttet til CISAs infrastruktur.
Repositoryet lå ifølge rapporter offentlig tilgjengelig i flere måneder før forskere fikk det fjernet. Sikkerhetseksperter beskriver hendelsen som et alvorlig svikt i operasjonell sikkerhet hos en av USAs viktigste cybersikkerhetsmyndigheter.
Offentlig GitHub-repository inneholdt sensitive data
Forskere hos GitGuardian oppdaget et offentlig GitHub-repository kalt «Private-CISA» som angivelig eksponerte rundt 844 MB med sensitiv intern data. Repositoryet inneholdt blant annet passord i klartekst, AWS GovCloud-legitimasjon, autentiseringstokener, Entra ID SAML-sertifikater og interne driftsfiler knyttet til CISA-systemer.
Etterforskere fant også Kubernetes-manifester, Terraform-konfigurasjoner, CI/CD-logger, GitHub Actions-workflows, infrastrukturskript og backupdokumentasjon. Forskerne mener filene ga uvanlig detaljert innsikt i skyinfrastruktur og deployeringsprosesser knyttet til amerikanske myndighetssystemer.
GitGuardians forsker Guillaume Valadon trodde først at repositoryet var falskt fordi sensitive opplysninger lå så åpent tilgjengelig. Videre undersøkelser bekreftet imidlertid at materialet var ekte.
Rapporter viser at repositoryet hadde vært offentlig tilgjengelig siden november 2025 før det til slutt ble fjernet i mai 2026.
Svake rutiner økte sikkerhetsrisikoen
Forskere opplyste at repositoryet viste flere eksempler på dårlig håndtering av autentiseringsopplysninger. Enkelte passord fulgte ifølge rapportene forutsigbare navnestrukturer basert på plattformnavn og kalenderår.
Lekkasjen inneholdt også regneark med brukernavn og passord i klartekst for interne systemer. Forskerne hevdet dessuten at GitHubs hemmelighetsskanning var deaktivert for repositoryet, noe som hindret automatiske varsler om eksponerte legitimasjonsopplysninger.
Sikkerhetseksperter advarte om at angripere potensielt kunne fått tilgang til skyinfrastruktur, interne repositories, CI/CD-systemer og deployeringsmiljøer mens repositoryet lå offentlig tilgjengelig.
Flere autentiseringsopplysninger skal også ha vært aktive etter at repositoryet ble fjernet.
Kobling til konsulentselskap vekker spørsmål
Rapporter koblet repositoryet til en konsulent involvert i CISA-relaterte prosjekter. Ifølge cybersikkerhetsjournalisten Brian Krebs ble repositoryet angivelig administrert av en ansatt hos det Virginia-baserte konsulentselskapet Nightwing.
Forskerne forsøkte flere ganger å kontakte eieren av repositoryet før de eskalerte saken gjennom CERT/CC og offentlige kommunikasjonskanaler. GitGuardian opplyste at repositoryet til slutt ble fjernet rundt 26 timer etter at informasjonen nådde CISA direkte.
CISA bekreftet senere at myndigheten var kjent med hendelsen og opplyste at etterforskere ikke hadde funnet bevis på ondsinnet utnyttelse av de lekkede filene. Myndigheten varslet også at den vil innføre flere sikkerhetstiltak for å forhindre lignende hendelser i fremtiden.
Lekkasjen viser større problemer innen skysikkerhet
CISA-lekkasjen på GitHub synliggjør bredere sikkerhetsproblemer knyttet til skyinfrastruktur, programvareforsyningskjeder og automatiserte deployeringssystemer. Offentlige repositories fortsetter å eksponere hemmeligheter, API-nøkler, autentiseringstokener og sensitive konfigurasjonsfiler både i offentlig og privat sektor.
Forskere advarte om at lekkede infrastrukturfiler fortsatt kan gi angripere verdifull innsikt selv om legitimasjonsopplysningene senere blir ugyldige. Interne workflows, deployeringsstrukturer og konfigurasjonsdetaljer kan hjelpe angripere med å kartlegge miljøer og identifisere fremtidige angrepsveier.
Hendelsen viser også hvordan menneskelige feil og svake sikkerhetsrutiner fortsatt skaper store cybersikkerhetsrisikoer til tross for avanserte forsvarssystemer.
Konklusjon
CISA-lekkasjen på GitHub eksponerte passord i klartekst, AWS-tokener og sensitive infrastrukturfiler gjennom et offentlig repository som ifølge rapporter lå åpent i flere måneder. Forskere beskriver hendelsen som en alvorlig svikt i operasjonell sikkerhet knyttet til kritiske myndighetssystemer.
Saken forsterker også den økende bekymringen rundt håndtering av autentiseringsopplysninger, kontroll av konsulenter og sikkerheten i skymiljøer. Etter hvert som organisasjoner blir mer avhengige av automatisert infrastruktur og skytjenester, fortsetter eksponerte repositories å skape alvorlige risikoer i cybersikkerhetslandskapet.
0 responses to “CISA-lekkasje på GitHub eksponerte AWS-tokener og passord”