Американские спецы показали новый уровень хранения секретов.
Американское Агентство по кибербезопасности и защите инфраструктуры оказалось в центре крупной утечки. Подрядчик ведомства держал в открытом доступе на GitHub закрытый архив с паролями, ключами доступа и внутренними файлами CISA. По словам специалистов, утечка затронула учетные данные для высокопривилегированных учетных записей AWS GovCloud и десятков внутренних систем агентства.
Открытый репозиторий назывался Private-CISA. Его обнаружила компания GitGuardian, которая ищет опубликованные в открытом коде секреты и предупреждает владельцев учетных записей. Специалист GitGuardian Гийом Валадон сообщил, что владелец репозитория не отвечал на уведомления, а найденные данные выглядели крайне чувствительными.
В архиве хранились облачные ключи, токены, пароли в открытом виде, журналы и другие внутренние материалы CISA и Министерства внутренней безопасности США. Валадон назвал найденное примером плохой гигиены безопасности. По его словам, в истории изменений видно, что администратор отключил стандартную защиту GitHub, которая блокирует публикацию SSH-ключей и других секретов в открытых репозиториях.
Один из файлов с названием importantAWStokens содержал административные учетные данные для трех серверов Amazon AWS GovCloud. Еще один файл, AWS-Workspace-Firefox-Passwords.csv, включал имена пользователей и пароли в открытом виде для десятков внутренних систем CISA. Среди них была система LZ-DSO, предположительно связанная с защищенной средой разработки кода ведомства.
Не спрашивайте почему мы в MAX.
Основатель компании Seralys Филипп Катурельи проверил ключи AWS только для того, чтобы понять, действуют ли они и к каким системам дают доступ. По его словам, учетные данные позволяли входить в три учетные записи AWS GovCloud с высокими правами. В архиве также находились пароли к внутреннему хранилищу пакетов CISA, где собираются компоненты для программного обеспечения. Такая система могла бы стать особенно ценной целью для злоумышленников, поскольку через нее можно внедрить вредоносные изменения в используемые ведомством пакеты.
Катурельи считает, что репозиторий больше похож не на оформленный рабочий проект, а на личный черновик или способ синхронизировать файлы между разными устройствами. На это указывает использование как адреса, связанного с CISA, так и личной почты.
CISA подтвердила, что знает об утечке и продолжает проверку. Представитель агентства заявил, что сейчас нет признаков компрометации чувствительных данных из-за инцидента. Ведомство также пообещало внедрить дополнительные меры защиты, чтобы не допустить похожих случаев.
По данным KrebsOnSecurity, репозиторий вел сотрудник компании Nightwing, подрядчика американского правительства. Компания отказалась комментировать инцидент и перенаправила вопросы в CISA. Сам репозиторий исчез вскоре после того, как CISA получила уведомления от KrebsOnSecurity и Seralys, однако, по словам Катурельи, опубликованные ключи AWS оставались рабочими еще около 48 часов.
CISA не ответила на вопрос, как долго данные находились в открытом доступе. Катурельи утверждает, что репозиторий Private-CISA создали 13 ноября 2025 года, а учетная запись подрядчика на GitHub существовала с сентября 2018 года.
В утекших файлах также нашли слабые пароли для части внутренних ресурсов. В некоторых случаях пароль состоял из названия платформы и текущего года. Катурельи отметил, что подобная практика опасна даже без публикации данных в интернете, поскольку злоумышленники часто используют найденные внутри сети учетные данные, чтобы расширить доступ после первого взлома.
Инцидент выглядит особенно болезненно для CISA, поскольку агентство само отвечает за защиту критической инфраструктуры и предупреждает другие организации о подобных ошибках. При этом ведомство переживает сокращения: с начала второго срока Дональда Трампа CISA потеряла почти треть сотрудников из-за досрочных уходов на пенсию, компенсационных выплат и увольнений.