Proteklog vikenda, zaposleni u Agenciji za sajber bezbednost i infrastrukturu (CISA) otkrio je javni GitHub repozitorijum koji je izložio pristupne podatke za nekoliko veoma privilegovanih AWS GovCloud naloga, kao i veliki broj internog CISA sadržaja. Stručnjaci za bezbednost smatraju da je ovaj incident jedan od najozbiljnijih curenja državnih podataka u poslednje vreme.
Na dan 15. maja, Guillaume Valadon, istraživač iz bezbednosne kompanije GitGuardian, obavestio je javnost o ovom problemu. Njegova firma redovno skenira javne kod repozitorijume na GitHub-u i drugim platformama u potrazi za izloženim podacima, automatski obaveštavajući korisnike o bilo kakvim potencijalnim curenjima. Valadon je reagovao zbog visokog stepena osetljivosti informacija koje su bile dostupne.
Repizitorijum nazvan “Private-CISA” sadržavao je brojne interne CISA/DHS pristupne podatke, uključujući ključeve, tokene, lozinke i druge osetljive informacije. Valadon je primetio da podaci predstavljaju klasičan primer loše bezbednosne prakse, napominjući da su u logovima promene vidljive postavke koje su omogućile javno objavljivanje SSH ključeva.
Jedan od izloženih fajlova, pod nazivom “importantAWStokens”, uključivao je administrativne kredencijale za tri AWS GovCloud servera. Drugi fajl, “AWS-Workspace-Firefox-Passwords.csv”, sadrži plaintext korisnička imena i lozinke za desetine internih CISA sistema. Prema rečima Philippe-a Catureglia, osnivača bezbednosne konsultantske firme Seralys, ovi podaci predstavljaju značajan rizik za bezbednost sistema.
Caturegli je testirao AWS ključeve kako bi proverio njihovu validnost i otkrio koji unutrašnji sistemi su bili dostupni. Njegova analiza ukazuje na to da je repozitorijum korišćen više kao radna platforma nego kao stručni projekat. Uz to, korišćenje i CISA i lične email adrese sugeriše da je repozitorijum mogao biti korišćen u različitim konfiguracijama.
U odgovoru na upite, portparol CISA-e potvrdio je da su svesni izloženosti i da se sprovodi istraga. Ipak, dodali su da trenutno nema dokaza da su osetljivi podaci kompromitovani.
Repizitorijum “Private CISA” održavao je zaposleni iz firme Nightwing, koja je pružala usluge CISA-i. CISA nije odgovorila na pitanja o trajanju izloženosti podataka, ali su Caturegli i Valadon primetili da je repozitorijum postao aktivan 13. novembra 2025. godine, dok je nalog na GitHub-u osnovan još u septembru 2018.
Repizitorijum je uklonjen sa GitHub-a nakon što su CISA obavešteni o ovom curenju, ali su AWS ključevi ostali aktivni još 48 sati nakon toga. CISA trenutno posluje sa smanjenim budžetom i brojem zaposlenih, što dodatno otežava situaciju.
Ovaj incident ukazuje na potrebu za strožim bezbednosnim merama i obukama unutar vladinih agencija kako bi se sprečila slična curenja u budućnosti.
