Repo GitHub Publik Tak Sengaja Bocorkan Kredensial Sensitif CISA

File‑file di dalamnya mencakup dokumentasi dan konfigurasi yang menunjukkan bagaimana CISA membangun, menguji, dan menyebarkan perangkat lunak serta infrastrukturnya secara internal.

Karena repositori tersebut terbuka untuk umum, siapa pun yang menemukannya secara teori dapat mengunduh seluruh isi dan melihat kredensial yang tersimpan di dalamnya.

Jenis Data Sensitif yang Bocor

Peneliti melaporkan bahwa repositori itu memuat berbagai informasi sensitif yang terkait dengan sistem CISA dan DHS, antara lain:

• Username dan password dalam bentuk plaintext
• Kredensial AWS GovCloud (lingkungan cloud khusus untuk lembaga pemerintah AS)
• Token akses dan kunci autentikasi cloud
• File konfigurasi Kubernetes
• File deployment ArgoCD
• Sertifikat Entra ID SAML untuk autentikasi
• Log internal dan file operasional

Beberapa kredensial tersebut dilaporkan terhubung ke akun AWS GovCloud dengan hak akses tinggi serta sejumlah sistem internal CISA.

Pakar keamanan menekankan bahwa jenis data seperti ini—terutama token akses cloud atau kunci API—dapat memungkinkan akses langsung ke infrastruktur atau layanan jika kredensial tersebut masih aktif dan memiliki izin yang cukup.

Bagaimana Kebocoran Ini Ditemukan

Paparan ini pertama kali ditemukan oleh Guillaume Valadon, peneliti keamanan dari perusahaan GitGuardian, yang memindai repositori kode publik untuk menemukan kredensial yang bocor.

Sistem pemindaian otomatis GitGuardian menandai repositori tersebut karena berisi sejumlah besar rahasia digital yang tertanam langsung di file. Perusahaan kemudian mencoba menghubungi pemilik akun GitHub atau kontraktor yang bertanggung jawab, tetapi tidak mendapat tanggapan.

Setelah beberapa upaya tidak berhasil, Valadon menghubungi jurnalis keamanan siber Brian Krebs pada 15 Mei. Krebs kemudian membantu meningkatkan eskalasi laporan tersebut ke pejabat terkait dan melaporkan kasusnya secara publik.

Tak lama setelah itu, repositori tersebut akhirnya dihapus dari GitHub.

Risiko yang Ditimbulkan

Walaupun repositori tersebut akhirnya ditutup, paparan tersebut menciptakan sejumlah risiko keamanan potensial.

Jika sebagian kredensial masih aktif, pihak yang menemukannya secara teori bisa mengakses:

• Infrastruktur cloud pemerintah di AWS GovCloud
• Sistem pengembangan atau deployment internal CISA
• Layanan identitas dan autentikasi
• Pipeline DevOps dan sistem konfigurasi internal

Peneliti menyebutkan bahwa beberapa kredensial tampaknya masih aktif saat ditemukan.

Namun hingga kini, laporan publik belum mengonfirmasi bahwa kredensial tersebut benar‑benar digunakan oleh pihak tidak berwenang sebelum repositori dihapus.

Pernyataan Resmi dari CISA

CISA mengakui adanya paparan tersebut dan menyatakan sedang menyelidiki bagaimana repositori itu bisa terbuka untuk publik.

Menurut pernyataan yang dilaporkan sejumlah media, lembaga tersebut mengatakan tidak menemukan bukti bahwa data sensitif telah disusupi atau terjadi pelanggaran sistem.

Pejabat juga menyatakan bahwa mereka sedang meninjau insiden tersebut dan mengambil langkah untuk mencegah kejadian serupa di masa depan.

Kasus ini juga menarik perhatian anggota Kongres AS, yang meminta penjelasan resmi tentang bagaimana kredensial tersebut bisa terekspos dan apakah sistem federal sempat berisiko.

Mengapa Insiden Ini Sangat Memalukan

Kebocoran ini mendapat perhatian besar karena CISA sendiri adalah lembaga sipil utama pemerintah AS dalam bidang keamanan siber.

Organisasi ini secara rutin memberikan panduan kepada lembaga pemerintah, perusahaan, dan operator infrastruktur penting mengenai praktik terbaik keamanan digital, termasuk:

• manajemen kredensial
• penyimpanan rahasia digital (secret management)
• praktik DevOps yang aman
• pencegahan kebocoran data sensitif di repositori publik

Karena itu, fakta bahwa kredensial yang terkait dengan CISA justru ditemukan di repositori GitHub publik menyoroti jenis kesalahan keamanan operasional yang selama ini mereka peringatkan kepada organisasi lain.

Pelajaran yang Lebih Besar

Insiden seperti ini sebenarnya cukup sering terjadi di industri perangkat lunak. Pengembang terkadang tanpa sengaja memasukkan password, token, atau file konfigurasi sensitif ke dalam sistem kontrol versi seperti Git.

Saat ini banyak perusahaan keamanan menggunakan alat pemindaian otomatis untuk mencari kunci dan kredensial yang bocor di platform kode publik. Dalam kasus ini, pemindaian tersebut memungkinkan peneliti menemukan masalah lebih cepat dan membantu memastikan repositori segera dihapus sebelum ada eksploitasi yang terkonfirmasi.

Namun kejadian ini juga menunjukkan bahwa satu repositori yang salah konfigurasi saja dapat membuka akses ke infrastruktur penting, terutama di lingkungan kompleks seperti sistem pemerintah atau perusahaan besar jika praktik pengelolaan kredensial tidak dijalankan dengan ketat.