Fuga dati CISA su GitHub: chiavi AWS GovCloud esposte

Fino allo scorso fine settimana, un contractor della Cybersecurity & Infrastructure Security Agency (CISA) ha tenuto pubblico su GitHub un repository che esponeva credenziali di vari account AWS GovCloud ad alto privilegio e di molti sistemi interni dell’agenzia. Secondo esperti di sicurezza, l’archivio conteneva file con le procedure interne di sviluppo, test e deployment del software CISA, rappresentando una delle fughe di dati governative più gravi degli ultimi anni.

Il 15 maggio KrebsOnSecurity è stato contattato da Guillaume Valadon, ricercatore di GitGuardian. La sua azienda scansiona continuamente repository pubblici su GitHub e altre piattaforme alla ricerca di segreti esposti, notificando automaticamente i titolari. Valadon ha segnalato che il proprietario del repository non rispondeva e che i dati esposti erano estremamente sensibili.

Il repository in questione si chiamava “Private-CISA” e conteneva un’enorme quantità di credenziali interne CISA/DHS: chiavi cloud, token, password in chiaro, log e altri asset sensibili. Valadon ha osservato che i commit log mostrano che l’amministratore aveva disabilitato l’impostazione predefinita di GitHub che blocca la pubblicazione di chiavi SSH o altri segreti nei repository pubblici. “Password in chiaro in un CSV, backup in git, comandi espliciti per disabilitare la funzionalità di rilevamento dei segreti di GitHub”, ha scritto Valadon. “Onestamente pensavo fosse tutto falso prima di analizzare il contenuto più a fondo. È la peggiore fuga di dati che abbia mai visto nella mia carriera.”

Uno dei file esposti, “importantAWStokens”, conteneva le credenziali amministrative di tre server AWS GovCloud. Un altro file, “AWS-Workspace-Firefox-Passwords.csv”, elencava nomi utente e password in chiaro per decine di sistemi interni CISA, inclusi “LZ-DSO” (Landing Zone DevSecOps), l’ambiente di sviluppo sicuro dell’agenzia.

Philippe Caturegli, fondatore della società di consulenza Seralys, ha testato le chiavi AWS per verificare se fossero ancora valide e determinare a quali sistemi interni potevano accedere. Ha confermato che le credenziali potevano autenticarsi su tre account AWS GovCloud ad alto livello di privilegio. L’archivio conteneva anche le credenziali in chiaro dell'”artifactory” interna di CISA, ovvero il repository di tutti i pacchetti software usati per sviluppare applicazioni. “Sarebbe un obiettivo primario per muoversi lateralmente”, ha spiegato Caturegli. “Introdurre un backdoor in qualche pacchetto software e ogni volta che costruiscono qualcosa di nuovo, il backdoor si diffonde a destra e a sinistra.”

Un portavoce CISA ha dichiarato che l’agenzia è a conoscenza dell’esposizione e sta indagando. “Al momento non ci sono indicazioni che dati sensibili siano stati compromessi”, ha detto. “Stiamo lavorando per implementare ulteriori garanzie per prevenire episodi futuri.” Il repository “Private-CISA” era gestito da un dipendente di Nightwing, contractor governativo con sede a Dulles, Virginia. Nightwing ha declinato commenti, rimandando a CISA. Il repository è stato creato il 13 novembre 2025; l’account GitHub del contractor esisteva dal settembre 2018.

Dopo la notifica a CISA, il repository è stato rimosso, ma le chiavi AWS sono rimaste valide per altre 48 ore. Caturegli ha notato che il contractor utilizzava password facilmente indovinabili, spesso composte dal nome della piattaforma seguito dall’anno corrente. “Questa sarebbe una grave minaccia per qualsiasi organizzazione anche se le credenziali non fossero mai state esposte esternamente”, ha commentato. “Quello che sospetto è che il contractor usasse GitHub per sincronizzare file tra un laptop di lavoro e un computer di casa, dato che ha effettuato commit regolari dal novembre 2025.”

L’episodio arriva in un momento difficile per CISA, che ha perso quasi un terzo della sua forza lavoro dall’inizio della seconda amministrazione Trump, tra prepensionamenti, buyout e dimissioni.