CISA data leak: contractor pubblica segreti su GitHub

Un contractor della Cybersecurity & Infrastructure Security Agency (CISA) ha pubblicato intenzionalmente chiavi di accesso ad AWS GovCloud e altri segreti dell’agenzia su un account GitHub pubblico. La notizia, riportata da KrebsOnSecurity, ha spinto il Congresso a chiedere spiegazioni. L’agenzia sta ancora cercando di contenere la fuga di dati e invalidare le credenziali compromesse.

Secondo la ricostruzione, il contractor — che aveva accesso amministrativo alla piattaforma di sviluppo codice di CISA — ha creato un profilo GitHub pubblico chiamato “Private-CISA”, contenente credenziali in chiaro per decine di sistemi interni. I log dei commit mostrano che il contractor ha disabilitato la protezione integrata di GitHub contro la pubblicazione di credenziali sensibili nei repository pubblici.

CISA ha confermato la fuga di dati, ma non ha risposto a domande sulla durata dell’esposizione. Esperti che hanno analizzato l’archivio, ormai cancellato, affermano che fu creato a novembre 2025 e usato come “scratchpad” personale piuttosto che come repository di progetto.

In una dichiarazione, CISA ha detto che “non ci sono indicazioni che dati sensibili siano stati compromessi”. Ma il Senato e la Camera non ci stanno.

La senatrice Maggie Hassan (D-NH) ha scritto una lettera al direttore ad interim di CISA, Nick Andersen, chiedendo risposte su “come un tale errore di sicurezza possa verificarsi proprio nell’agenzia incaricata di prevenire le violazioni informatiche”. Ha posto una dozzina di domande specifiche. La senatrice ha ricordato che l’incidente arriva in un momento di forte turbolenza interna: CISA ha perso oltre un terzo della forza lavoro e quasi tutti i vertici dopo una serie di pensionamenti anticipati, buyout e dimissioni forzate dall’amministrazione Trump.

Anche Bennie Thompson (D-MS), membro di spicco della Commissione Sicurezza Nazionale della Camera, ha espresso preoccupazione. In una lettera co-firmata da Delia Ramirez (D-Ill), ha scritto: “Siamo preoccupati che questo incidente rifletta una cultura di sicurezza in declino e/o un’incapacità di CISA di gestire adeguatamente i contratti. I file contenuti nel repository ‘Private-CISA’ fornivano informazioni, accesso e una roadmap per farlo. Non è un segreto che i nostri avversari — Cina, Russia, Iran — cerchino di ottenere accesso e persistenza sulle reti federali”.

A più di una settimana dalla notifica della violazione da parte della società di sicurezza GitGuardian, CISA sta ancora lavorando per invalidare e sostituire molte delle chiavi e dei segreti esposti. KrebsOnSecurity ha parlato con Dylan Ayrey, creatore di TruffleHog, uno strumento open source per scoprire chiavi private nei codici pubblici su GitHub. Ayrey ha detto che CISA non aveva ancora invalidato una chiave privata RSA esposta nel repository, che consentiva l’accesso a un’app GitHub con pieno controllo su tutti i repository di codice di CISA-IT.

Ayrey ha spiegato che “un attaccante con questa chiave può leggere il codice sorgente di ogni repository nell’organizzazione CISA-IT, compresi quelli privati, registrare runner self-hosted malevoli per dirottare le pipeline CI/CD, accedere ai segreti dei repository e modificare le impostazioni di amministrazione, incluse le regole di protezione dei branch”. KrebsOnSecurity ha informato CISA di questi risultati il 20 maggio. Dopo la notifica, CISA sembra aver invalidato la chiave, ma non ancora ruotato altre credenziali esposte legate a tecnologie critiche distribuite nel portafoglio IT dell’agenzia.

CISA ha risposto con una breve dichiarazione: “CISA sta rispondendo attivamente e coordinando con le parti e i venditori appropriati per garantire che tutte le credenziali identificate come trapelate vengano ruotate e rese invalide, e continuerà a prendere le misure appropriate per proteggere la sicurezza dei nostri sistemi”.

Ayrey ha notato che il repository ha ottenuto alcuni dei suoi segreti più sensibili alla fine di aprile 2026, e che i criminali informatici o gli avversari stranieri potrebbero averli notati subito. “Monitoriamo quel flusso di dati per le chiavi e abbiamo strumenti per capire a chi appartengono. Abbiamo prove che anche gli attaccanti monitorano quel flusso. Chiunque monitori gli eventi di GitHub potrebbe avere queste informazioni”, ha detto.

James Wilson, editor di Risky Business, ha osservato che le organizzazioni possono impostare politiche top-down per impedire ai dipendenti di disabilitare le protezioni di GitHub. Ma il suo co-conduttore Adam Boileau ha aggiunto che “nessuna tecnologia può impedire a un dipendente di aprire un account GitHub personale e usarlo per memorizzare informazioni sensibili. Alla fine, questo è un problema umano: hai assunto un contractor che ha deciso di sua iniziativa di usare GitHub per sincronizzare contenuti tra computer di lavoro e computer di casa. Non so quali controlli tecnici potresti mettere in atto, dato che questo avviene presumibilmente al di fuori di qualsiasi cosa gestita o visibile da CISA”.