Sigurnosni istraživač Brian Krebs donosi vijesti da je Američka agencija za cyber sigurnost i infrastrukturu (CISA) izložila veliku količinu nešifriranih lozinki, SSH privatnih ključeva, tokena i drugih osjetljivih CISA sredstava u javnom GitHub repozitoriju najmanje od studenog 2025. godine.
Javni repozitorij, nazvan pomalo ambiciozno “Private-CISA”, skrenuo je pozornost Krebsu zahvaljujući Guillaumeu Valadonu iz GitGuardiana, koji je bio obaviješten o prisutnosti repozitorija putem javnih skeniranja koda GitGuardiana. Krebs navodi da je Valadon pristupio njemu nakon što nije dobio odgovore od vlasnika repozitorija Private-CISA.
U e-mailu Krebsu, Valadon je tvrdio da zapisnici promjena repozitorija pokazuju da su GitHubove zadane zaštite protiv spremanja tajni – zaštite osmišljene da zaštite neiskusne ili nespretne programere od ovakvih grešaka – bile onemogućene od strane administratora repozitorija.
Testiranje osnivača Seralysa, Philippea Catureglija, pokazalo je da ovo nije bila šala ili prevara te da je uspio iskoristiti vjerodajnice iz repozitorija Private-CISA za pristup višestrukim Amazon Web Services GovCloud računima “na visokoj razini privilegija”.
Krebs napominje da se čini da repozitorij upravlja Nightwing, CISA-ina tvrtka za ugovaranje sa sjedištem u Virginiji. Nightwing do sada nije javno komentirao, već je pitanja preusmjeravao natrag na CISA-u.
Ovo nije prvi put da je CISA napravila grešku – zapravo, to nije ni prvi put ove godine. U siječnju je privremeni direktor CISA-e Madhu Gottumukkala, koji nije prošao poligraf, učitao osjetljive vladine dokumente u ChatGPT nakon što je zatražio i dobio izuzeće od agencijske politike koja je zabranjivala korištenje ChatGPT-a od strane osoblja CISA-e. Gottumukkala je uklonjen sa svoje funkcije u veljači.
