CISA: Pior Vazamento de Chaves Digitais em História
A agência de cibersegurança mais importante dos Estados Unidos cometeu um erro que desafia a crença: expôs chaves digitais, senhas em texto plano e tokens em um repositório GitHub público. O incidente, descrito por especialistas como “o pior vazamento que já testemunhei”, expôu credenciais altamente privilegiadas de contas AWS GovCloud e dezenas de sistemas internos da CISA.
O que Aconteceu: Uma Visão Geral do Desastre
No dia 15 de maio de 2026, um contratante da Cybersecurity and Infrastructure Security Agency (CISA) manteve um repositório público no GitHub chamado “Private-CISA”. Esse repositório continha credenciais para várias contas AWS GovCloud altamente privilegiadas e um grande número de sistemas internos da CISA. Segundo especialistas em segurança, o arquivo público incluíam arquivos detalhando como a CISA constrói, testa e implanta software internamente, e representa um dos vazamentos de dados mais graves do governo em anos recentes.
O repositório continha 844 MB de dados através da árvore de trabalho e histórico do Git. Dentro dele, especialistas encontraram CI/CD build logs, documentação de fluxos de implantação, manifests do Kubernetes, arquivos ArgoCD, código de infraestrutura Terraform, fluxos de trabalho GitHub Actions e documentação interna.
As Chaves Expostas e Seu Impacto Potencial
Entre os arquivos expostos estavam credenciais administrativas para três servidores Amazon AWS GovCloud. Um arquivo chamado “importantAWStokens” incluía credenciais administrativas para essas contas. Outro arquivo, “AWS-Workspace-Firefox-Passwords.csv”, listava nomes de usuário e senhas em texto plano para dezenas de sistemas internos da CISA.
Philippe Caturegli, fundador da consultoria de segurança Seralys, testou as chaves AWS e confirmou que elas poderiam autenticar em três contas AWS GovCloud em um alto nível de privilégio. Ele também descobriu que o arquivo continha credenciais em texto plano para o “artifactory” interno da CISA – essencialmente um repositório de todos os pacotes de código que eles estão usando para construir software.
“Isso seria um alvo primário para se mover lateralmente”, disse Caturegli. “Backdoor em alguns pacotes de software, e toda vez que eles constroem algo novo, implantam seu backdoor para todos os lados.”
Como os Especialistas Descobriram o Vazamento
O vazamento foi descoberto por Guillaume Valadon, pesquisador da empresa de segurança GitGuardian. A empresa constantemente escaneia repositórios de código públicos no GitHub e em outros lugares em busca de segredos expostos, alertando automaticamente as contas ofensoras sobre qualquer aparente exposição de dados sensíveis.
Valadon disse que alcançou porque o proprietário neste caso não estava respondendo e as informações expostas eram altamente sensíveis. Ele descreveu as credenciais expostas da CISA como um exemplo教科书 de higiene de segurança deficiente, observando que os logs de commit no GitHub da conta ofensora mostram que o administrador da CISA desabilitou a configuração padrão do GitHub que bloqueia usuários de publicar chaves SSH ou outros segredos em repositórios de código públicos.
“Senhas armazenadas em texto plano em um CSV, backups no git, comandos explícitos para desabilitar o recurso de detecção de segredos do GitHub”, escreveu Valadon em um e-mail. “Eu sinceramente acreditava que era tudo falso antes de analisar o conteúdo mais profundamente. Este é, de fato, o pior vazamento que testemunhei em minha carreira.”
Lições de Segurança que Devemos Aprender
O vazamento da CISA serve como um lembrete crítico sobre as práticas de segurança em ambientes de desenvolvimento. Várias lições importantes podem ser extraídas deste incidente:
| Prática Insegura | Risco Associado | Solução Recomendada |
|---|---|---|
| Armazenar credenciais em texto plano | Exposição direta de senhas e tokens | Usar sistemas de gerenciamento de segredos |
| Desabilitar secret scanning | Vazamentos não detectados automaticamente | Manter todos os recursos de detecção habilitados |
| Usar repositórios públicos como “scratchpad” | Sincronização acidental de dados sensíveis | Usar repositórios privados para desenvolvimento |
| Senhas facilmente adivinháveis | Brute force e acesso não autorizado | Políticas de senha complexas e aleatórias |
Falhas de Segurança Encontradas
Os especialistas identificaram várias falhas de graves de segurança:
- O contratante usou facilmente adivinháveis senhas para vários recursos internos; por exemplo, muitas das credenciais usavam uma senha consistindo no nome da plataforma seguido pelo ano atual
- O repositório continha instruções explícitas para desabilitar a detecção de segredos do GitHub
- Backups foram commits no Git em vez de usar sistemas dedicados
- Os metadados do Git sugeriram que o repositório estava sendo usado em diferentes ambientes configurados
Resposta da CISA e Consequências
Em resposta às perguntas, um porta-voz da CISA disse que a agência está ciente da exposição relatada e continua investigando a situação.
“Não há indicação de que nenhum dado sensível foi comprometido como resultado deste incidente”, escreveu o porta-voz da CISA. “Enquanto mantemos nossos membros da equipe aos mais altos padrões de integridade e consciência operacional, estamos trabalhando para garantir que salvaguardas adicionais sejam implementadas para prevenir ocorrências futuras.”
O repositório “Private CISA” foi criado em 13 de novembro de 2025, e a conta GitHub do contratante foi criada em setembro de 2018. A conta do GitHub que incluía o repositório Private CISA foi colocada offline pouco depois que KrebsOnSecurity e Seralys notificaram a CISA sobre a exposição.
FAQ – Perguntas Frequentes
Quem foi responsável pelo vazamento?
O vazamento foi causado por um contratante da CISA que mantinha um repositório GitHub público chamado “Private-CISA”. A conta foi associada a um funcionário da Nightwing, uma empresa de contratação do governo com sede em Dulles, Virgínia.
Que tipo de informações foram expostas?
O repositório continha credenciais administrativas para contas AWS GovCloud, tokens do GitHub, certificados SAML, arquivos de configuração do Kubernetes, senhas em texto plano para sistemas internos da CISA, e documentação detalhada sobre como a agência constrói e implanta software.
Por quanto tempo as credenciais permaneceram expostas?
O repositório foi criado em 13 de novembro de 2025 e permaneceu público até ser descoberto em 14 de maio de 2026, quando foi notificado ao CERT/CC. Infelizmente, algumas das chaves AWS permaneceram válidas por mais 48 horas após o repositório ser tirado do ar.
A CISA confirmou se houve algum comprometimento?
Segundo a CISA, não há indicação de que nenhum dado sensível foi comprometido como resultado do incidente. No entanto, especialistas em segurança questionaram essa afirmação dada a natureza extremamente sensível das credenciais expostas.
Como esse tipo de vazamento pode ser prevenido?
Para prevenir incidentes semelhantes, organizações devem implementar gerenciamento de segredos, manter o secret scanning habilitado, restringir o uso de repositórios públicos para dados sensíveis, e fornecer treinamento adequado sobre higiene de segurança para todos os funcionários e contratantes.
Referências
- CISA Admin Leaked AWS GovCloud Keys on Github – Krebs on Security
- How We Got a CISA GitHub Leak Taken Down in Under a Day – GitGuardian Blog
- America’s top cyber-defense agency left a GitHub repo open with with passwords – Bleeping Computer
- America’s top cyber-defense agency left a GitHub repo open with passwords – Bleeping Computer Forums