A Agência de Cibersegurança dos EUA Vazou as Próprias Chaves no GitHub — e Ficou Seis Meses Online

A Agência de Cibersegurança dos EUA Vazou as Próprias Chaves no GitHub — e Ficou Seis Meses Online

A Cybersecurity and Infrastructure Security Agency (CISA) — a principal agência de cibersegurança do governo dos Estados Unidos — expôs publicamente no GitHub centenas de credenciais sensíveis, incluindo chaves administrativas de servidores AWS GovCloud, senhas em texto puro e certificados SAML. O repositório, com o sugestivo nome de “Private-CISA”, ficou acessível por cerca de seis meses — de novembro de 2025 até maio de 2026. Um pesquisador da GitGuardian descreveu o vazamento como “o pior que já vi na carreira”.

A ironia é brutal: a agência cuja missão é proteger a infraestrutura crítica dos Estados Unidos contra ameaças cibernéticas deixou as chaves da própria porta aberta na rua — e com um placa dizendo “privado” na frente.

O Que Exatamente Foi Vazado

O repositório “Private-CISA”, mantido por um contratado da agência no GitHub, continha 844 MB de dados sensíveis. Segundo a GitGuardian, que descobriu e reportou o vazamento, o repositório abrigava:

• Chaves administrativas de três servidores Amazon AWS GovCloud — o ambiente em nuvem exclusivo do governo americano, usado para processar dados classificados.
• Um arquivo CSV com dezenas de senhas em texto puro para sistemas internos da CISA, incluindo o ambiente de desenvolvimento seguro chamado “Landing Zone DevSecOps”.
• Certificados SAML da Entra ID (anteriormente Azure AD), usados para autenticação federada em serviços da Microsoft.
• Arquivos de configuração Kubernetes, manifestos ArgoCD, workflows de GitHub Actions e scripts de automação de infraestrutura.
• Documentação interna, incluindo exportações de OneNote e arquivos .docx com backups.
• Tokens pessoais e profissionais do GitHub, chaves privadas e credenciais de serviços de container registry.

O arquivo com os tokens AWS tinha um nome que não deixava margem para dúvidas: importantAWStokens. Outro arquivo listava senhas do Firefox em formato CSV, também em texto puro.

Como o Vazamento Foi Descoberto

Em 14 de maio de 2026, o sistema de monitoramento público da GitGuardian detectou o repositório. Guillaume Valadon, pesquisador da empresa de segurança, foi o responsável pela análise. Segundo relato dele à Krebs on Security, a primeira reação foi descrença: “Eu honestamente achei que era tudo fake antes de analisar o conteúdo mais a fundo.”

O programa Good Samaritan da GitGuardian já tinha enviado nove emails automáticos ao autor dos commits entre 13 de maio e a manhã de 15 de maio — sem resposta. Diante da gravidade, a GitGuardian escalou o caso pelo portal do CERT/CC no mesmo dia 14, às 16h14 (horário de Europa Central), e acionou contatos pessoais em paralelo para acelerar a divulgação responsável.

A CISA removeu o repositório do ar em 26 horas após o primeiro contato formal. Philippe Caturegli, fundador da consultoria Seralys, testou as chaves AWS expostas e confirmou que parte delas ainda era válida e funcional naquele momento — ou seja, qualquer pessoa com acesso ao link poderia ter utilizado.

A Escala do Problema: Seis Meses de Exposição

O repositório foi criado em novembro de 2025. Isso significa que as credenciais ficaram expostas publicamente por aproximadamente seis meses. Durante todo esse período, qualquer pessoa — pesquisadores de segurança, mas também grupos de ameaças patrocinados por Estados-nação, criminosos cibernéticos ou curiosos — poderia ter encontrado e explorado essas credenciais.

Estudos citados pela Dark Reading mostram que atacantes monitoram ativamente repositórios públicos como o GitHub em busca de credenciais vazadas, e podem saltar sobre vazamentos em questão de minutos. A janela de seis meses é, para todos os efeitos práticos, uma eternidade em segurança cibernética.

A Akeyless, empresa especializada em gestão de segredos, apontou que o caso expõe um problema sistêmico: a dependência de segredos estáticos (chaves fixas de longa duração) em vez de credenciais rotativas e efêmeras. Mesmo que o repositório nunca tivesse se tornado público, a prática de armazenar senhas em texto puro em arquivos de configuração já é um risco crítico.

Higiene Digital Que Dói de Ver

O que torna o caso particularmente constrangedor é a cascata de más práticas de segurança identificadas:

• Desativação voluntária do secret scanning: os logs de commit do GitHub mostram que o administrador da CISA desativou explicitamente a funcionalidade nativa do GitHub que bloqueia a publicação de chaves SSH e outros segredos em repositórios públicos.
• Senhas em texto puro: nenhuma criptografia, nenhum cofre de segredos — credenciais armazenadas diretamente em arquivos CSV.
• Backups versionados no Git: o repositório funcionava como um banco de backups informais, com diretórios como “Backup-April-2026” e “All Backups”.
• Nomenclatura que não ajuda: arquivos com nomes como “Important AWS Tokens.txt” e “Kube-Config.txt” tornavam trivial identificar o que cada arquivo continha.

Valadon resumiu: “Senhas armazenadas em texto puro num CSV, backups no git, comandos explícitos para desativar a detecção de segredos do GitHub. Isso é obviamente o erro de um indivíduo, mas pode revelar práticas internas.”

A Resposta da CISA

Em declaração à Krebs on Security, a CISA afirmou: “No momento, não há indicação de que dados sensíveis tenham sido comprometidos como resultado deste incidente. Embora mantenhamos nossos membros da equipe nos mais altos padrões de integridade e consciência operacional, estamos trabalhando para garantir que salvaguardas adicionais sejam implementadas para evitar ocorrências futuras.”

A declaração é o padrão institucional: tranquilizadora, genérica e insuficiente. Seis meses de exposição pública de credenciais administrativas de nuvem governamental não se resolvem com “salvaguardas adicionais”. Faltou transparência sobre o escopo da investigação interna, sobre quais sistemas foram efetivamente acessados com as credenciais vazadas, e sobre as consequências para o contratado responsável.

Lições para Qualquer Organização

O vazamento da CISA é um caso de textbook — mas do lado errado. Serve como lembrete brutal de que os princípios básicos de segurança continuam sendo violados até mesmo por quem deveria ser a referência. As lições aplicáveis a qualquer equipe de tecnologia:

1. Nunca desative o secret scanning. Ferramentas como o GitHub Secret Scanning, GitGuardian e equivalentes existem por um motivo. Desativá-las é como remover o detector de fumaça porque ele apita demais.
2. Credenciais estáticas são legado. Migre para identidades efêmeras, tokens de curta duração e cofres de segredos integrados ao pipeline de CI/CD.
3. Backups não pertencem ao Git. Repositórios de código não são sistemas de backup. Use soluções dedicadas com criptografia em repouso e controle de acesso granular.
4. Monitore proativamente. Se a GitGuardian não tivesse detectado e escalado o caso, o repositório poderia ter permanecido online por mais meses — ou até anos.
5. A cultura de segurança importa. Um indivíduo cometeu o erro, mas o ambiente que permitiu que isso acontecesse — sem auditoria, sem revisão de código sensível, sem políticas de proteção de credenciais — é um problema organizacional.

FAQ

Quem é a CISA e por que esse vazamento importa?

A CISA (Cybersecurity and Infrastructure Security Agency) é a agência de cibersegurança do Departamento de Segurança Interna dos Estados Unidos, responsável por proteger infraestrutura crítica — desde redes elétricas até sistemas eleitorais. O vazamento de suas credenciais administrativas é relevante porque dá acesso potencial a sistemas governamentais sensíveis e revela vulnerabilidades na própria instituição que deveria liderar as boas práticas.

As credenciais vazadas ainda funcionavam quando descobertas?

Sim. Pesquisadores da Seralys confirmaram que parte das chaves AWS GovCloud ainda era válida e funcional no momento da descoberta, permitindo acesso a sistemas internos da agência — incluindo o ambiente de desenvolvimento DevSecOps.

Quanto tempo as credenciais ficaram expostas?

O repositório foi criado em novembro de 2025 e removido em maio de 2026, totalizando aproximadamente seis meses de exposição pública. A CISA removeu o conteúdo 26 horas após o reporte formal da GitGuardian ao CERT/CC.

Essa falha afeta sistemas brasileiros?

Diretamente, não. As credenciais expostas são de infraestrutura governamental americana. Indiretamente, o caso é relevante como exemplo extremo de falhas de higiene de credenciais — um problema que afeta organizações de todos os tamanhos e países. A lição sobre boas práticas de gerenciamento de segredos é universal.

Referências

• Krebs on Security — CISA Admin Leaked AWS GovCloud Keys on GitHub
• GitGuardian — How We Got a CISA GitHub Leak Taken Down in Under a Day
• Gizmodo — The Worst Leak That I’ve Witnessed: U.S. Cybersecurity Agency Leaves Its Digital Keys Out in Public on GitHub
• Dark Reading — CISA Exposes Secrets, Credentials in ‘Private’ Repo
• Akeyless — CISA’s GitHub Leak Exposed a Static Secrets Problem
• Reddit r/cybersecurity — Discussão da comunidade