En stor säkerhetsincident kopplad till USA:s cybersäkerhetsmyndighet CISA har väckt oro inom hela cybersäkerhetsbranschen. Forskare upptäckte ett offentligt GitHub-repository som innehöll lösenord i klartext, AWS GovCloud-token, interna deploymentsfiler och autentiseringsuppgifter kopplade till CISA:s infrastruktur.
Repositoryt låg enligt uppgifter öppet under flera månader innan forskare lyckades få det borttaget. Säkerhetsexperter beskriver incidenten som ett allvarligt misslyckande inom operativ säkerhet hos en av USA:s viktigaste cybersäkerhetsmyndigheter.
Offentligt GitHub-repository innehöll känsliga uppgifter
Forskare från GitGuardian upptäckte ett offentligt GitHub-repository med namnet ”Private-CISA” som enligt rapporter exponerade omkring 844 MB känslig intern data. Repositoryt innehöll bland annat lösenord i klartext, AWS GovCloud-uppgifter, autentiseringstoken, Entra ID SAML-certifikat och interna driftfiler kopplade till CISA-system.
Utredare hittade även Kubernetes-manifest, Terraform-konfigurationer, CI/CD-loggar, GitHub Actions-arbetsflöden, infrastrukturskript och backupdokumentation. Forskare menar att filerna gav ovanligt detaljerad insyn i molninfrastruktur och deploymentsprocesser kopplade till amerikanska myndighetssystem.
GitGuardians forskare Guillaume Valadon trodde först att repositoryt var falskt eftersom känsliga uppgifter låg så öppet tillgängliga. Efter vidare analys bedömde forskarna dock att materialet var äkta.
Rapporter visar att repositoryt låg publikt tillgängligt sedan november 2025 innan det slutligen togs bort i maj 2026.
Svaga rutiner ökade säkerhetsriskerna
Forskare uppgav att repositoryt visade flera exempel på bristfällig hantering av autentiseringsuppgifter. Vissa lösenord följde enligt rapporterna enkla och förutsägbara namnmönster baserade på plattformar och kalenderår.
Läckan innehöll dessutom kalkylblad med användarnamn och lösenord i klartext för interna system. Forskare hävdade också att GitHubs skydd för hemlighetsskanning hade stängts av för repositoryt, vilket stoppade automatiska varningar om exponerade autentiseringsuppgifter.
Säkerhetsexperter varnade för att angripare potentiellt hade kunnat få åtkomst till molninfrastruktur, interna repositories, CI/CD-system och deploymentsmiljöer under perioden då repositoryt låg öppet.
Vissa autentiseringsuppgifter ska dessutom ha varit aktiva även efter att repositoryt togs bort.
Koppling till konsultbolag väcker frågor
Rapporter kopplade repositoryt till en konsult som arbetade med CISA-relaterade projekt. Enligt cybersäkerhetsjournalisten Brian Krebs hanterade en anställd hos det Virginia-baserade konsultbolaget Nightwing repositoryt.
Forskare försökte enligt uppgifter kontakta repositoryts ägare flera gånger innan de eskalerade ärendet genom CERT/CC och statliga kommunikationskanaler. GitGuardian uppgav att repositoryt slutligen togs bort ungefär 26 timmar efter att informationen nådde CISA-tjänstemän direkt.
CISA bekräftade senare att myndigheten kände till incidenten och uppgav att utredare inte hittat några bevis för att angripare utnyttjat de läckta filerna. Myndigheten meddelade också att den planerar ytterligare säkerhetsåtgärder för att förhindra liknande incidenter framöver.
Läckan visar större problem inom molnsäkerhet
CISA-läckan på GitHub visar bredare säkerhetsproblem kopplade till molninfrastruktur, mjukvarukedjor och automatiserade deploymentsystem. Offentliga repositories fortsätter att exponera hemligheter, API-nycklar, autentiseringstoken och känsliga konfigurationsfiler inom både offentlig och privat sektor.
Forskare varnade för att läckta infrastrukturfiler fortfarande kan ge angripare värdefull information även om autentiseringsuppgifterna senare blir ogiltiga. Interna arbetsflöden, deploymentsstrukturer och konfigurationsdetaljer kan hjälpa angripare att kartlägga miljöer och identifiera framtida attackvägar.
Incidenten visar också hur mänskliga misstag och svaga säkerhetsrutiner fortsätter att skapa stora cybersäkerhetsrisker trots avancerade försvarssystem.
Slutsats
CISA-läckan på GitHub exponerade lösenord i klartext, AWS-token och känsliga infrastrukturfiler genom ett offentligt repository som enligt uppgifter låg öppet i flera månader. Forskare beskriver incidenten som ett stort misslyckande inom operativ säkerhet kopplat till kritiska myndighetssystem.
Händelsen förstärker också den växande oron kring hantering av autentiseringsuppgifter, konsultövervakning och säkerheten i molnmiljöer. När organisationer blir allt mer beroende av automatiserad infrastruktur och molntjänster fortsätter exponerade repositories att skapa allvarliga risker inom cybersäkerhetslandskapet.
0 svar till ”CISA-läcka på GitHub exponerade AWS-token och lösenord”