Как публичный репозиторий GitHub раскрыл секретные учетные данные CISA

Файлы в репозитории описывали, как агентство строит, тестирует и разворачивает свои программные системы и инфраструктуру.

Поскольку доступ к репозиторию был открыт, любой пользователь, обнаруживший его, мог скачать содержимое и увидеть сохраненные внутри учетные данные.

Какие данные оказались раскрыты

В репозитории находился широкий набор чувствительной информации, связанной с системами CISA и DHS. Среди обнаруженных данных:

• пароли и имена пользователей в открытом виде (plaintext)
• учетные данные для AWS GovCloud
• токены доступа и ключи аутентификации
• конфигурационные файлы Kubernetes
• файлы развертывания ArgoCD
• сертификаты Entra ID SAML
• внутренние журналы и операционные файлы

Некоторые из учетных данных, по сообщениям, относились к высокопривилегированным аккаунтам AWS GovCloud и различным внутренним системам CISA.

Эксперты отмечают, что такие данные особенно опасны: если ключи и токены остаются активными, они могут предоставить прямой доступ к инфраструктуре или сервисам.

Кто обнаружил проблему

Утечку выявил Гийом Валадон, исследователь безопасности из компании GitGuardian. Эта компания разрабатывает инструменты, которые автоматически сканируют публичные репозитории и ищут случайно опубликованные секреты — например, пароли или API‑ключи.

Система GitGuardian обнаружила в репозитории файлы с учетными данными и отметила их как потенциально опасные. Компания попыталась связаться с владельцем репозитория и уведомить его о проблеме, однако ответа не получила.

После нескольких безуспешных попыток Валадон 15 мая обратился к известному журналисту по кибербезопасности Брайану Кребсу. Тот помог донести информацию до официальных лиц и опубликовал расследование, после чего репозиторий был оперативно закрыт.

Какие риски возникли

Даже несмотря на то, что репозиторий был удален после огласки, сама ситуация создавала серьезные потенциальные угрозы.

Если бы часть учетных данных оставалась активной, они могли дать доступ к:

• облачной инфраструктуре правительства США в AWS GovCloud
• внутренним системам разработки и развертывания CISA
• службам идентификации и аутентификации
• DevOps‑конвейерам и конфигурационным сервисам

Исследователи отметили, что некоторые ключи могли оставаться действующими на момент обнаружения.

При этом публичных подтверждений того, что злоумышленники успели воспользоваться этими учетными данными до удаления репозитория, пока нет.

Позиция CISA

CISA подтвердило факт утечки и заявило, что проводит расследование обстоятельств произошедшего.

По данным нескольких СМИ, агентство сообщило, что не обнаружило признаков компрометации данных или подтвержденного взлома.

Также представители ведомства сообщили о мерах по предотвращению подобных ситуаций в будущем. Инцидент привлек внимание законодателей США: некоторые члены Конгресса запросили официальные брифинги о том, как произошла утечка и подвергались ли риску федеральные системы.

Почему это выглядит особенно неловко

Ситуация вызвала широкий резонанс именно потому, что CISA — это главный гражданский орган США по вопросам кибербезопасности. Агентство регулярно выпускает рекомендации для государственных структур, компаний и операторов критической инфраструктуры.

Среди тем, по которым CISA обычно консультирует организации:

• управление учетными данными
• безопасное хранение секретов
• безопасные практики DevOps
• предотвращение утечек данных в публичных репозиториях

Поэтому обнаружение учетных данных, связанных с агентством, в открытом репозитории GitHub стало показательным примером той самой ошибки, о которой CISA обычно предупреждает других.

Более широкий урок для индустрии

Подобные инциденты регулярно происходят в разработке программного обеспечения. Разработчики иногда случайно добавляют в систему контроля версий файлы конфигурации, ключи API или пароли.

Сегодня многие компании используют автоматические сканеры, которые ищут секреты в публичных репозиториях. Именно такая система и позволила исследователю быстро обнаружить проблему и добиться удаления данных до подтвержденного злоупотребления.

Тем не менее этот случай показывает, насколько одна ошибка в настройке репозитория может потенциально открыть доступ к важной инфраструктуре — особенно в крупных государственных и корпоративных системах.