Chave de Administrador da CISA Vaza Chaves do AWS GovCloud no Github
Um contratado da CISA expôs credenciais de acesso a contas AWS GovCloud e sistemas internos da agência em um repositório público no GitHub. A falha, que incluiu chaves de acesso, senhas em texto simples e outros dados sensíveis, é considerada uma das maiores falhas de segurança do governo em anos.
MundiX News·19 de maio de 2026·7 min de leitura·👁 7 views
Até o último fim de semana, um contratado da Cybersecurity & Infrastructure Security Agency (CISA) mantinha um repositório público no GitHub que expôs credenciais para várias contas altamente privilegiadas do AWS GovCloud e um grande número de sistemas internos da CISA. Especialistas em segurança afirmaram que o arquivo público incluía arquivos detalhando como a CISA constrói, testa e implanta software internamente, e que representa um dos vazamentos de dados governamentais mais graves da história recente.
Em 15 de maio, o KrebsOnSecurity ouviu de Guillaume Valadon, pesquisador da empresa de segurança GitGuardian. A empresa de Valadon verifica constantemente repositórios de código público no GitHub e em outros lugares em busca de segredos expostos, alertando automaticamente as contas infratoras sobre quaisquer exposições de dados confidenciais aparentes. Valadon disse que entrou em contato porque o proprietário, neste caso, não estava respondendo e as informações expostas eram altamente sensíveis.
O repositório do GitHub que Valadon sinalizou foi nomeado "Private-CISA" e abrigava um vasto número de credenciais e arquivos internos da CISA/DHS, incluindo chaves de nuvem, tokens, senhas em texto simples, logs e outros ativos confidenciais da CISA. Valadon disse que as credenciais da CISA expostas representam um exemplo clássico de má higiene de segurança, observando que os logs de commit na conta do GitHub infratora mostram que o administrador da CISA desativou a configuração padrão no GitHub que impede os usuários de publicar chaves SSH ou outros segredos em repositórios de código público.
"Senhas armazenadas em texto simples em um csv, backups no git, comandos explícitos para desativar o recurso de detecção de segredos do GitHub", escreveu Valadon em um e-mail. "Eu honestamente acreditei que tudo era falso antes de analisar o conteúdo mais a fundo. Esta é realmente a pior falha que testemunhei em minha carreira. É obviamente um erro individual, mas acredito que pode revelar práticas internas."
Um dos arquivos expostos, intitulado "importantAWStokens", incluía as credenciais administrativas para três servidores Amazon AWS GovCloud. Outro arquivo exposto em seu repositório público no GitHub - "AWS-Workspace-Firefox-Passwords.csv" - listava nomes de usuário e senhas em texto simples para dezenas de sistemas internos da CISA. De acordo com Caturegli, esses sistemas incluíam um chamado "LZ-DSO", que parece abreviação de "Landing Zone DevSecOps", o ambiente seguro de desenvolvimento de código da agência.
Philippe Caturegli, fundador da consultoria de segurança Seralys, disse que testou as chaves do AWS apenas para ver se ainda eram válidas e para determinar quais sistemas internos as contas expostas poderiam acessar. Caturegli disse que a conta do GitHub que expôs os segredos da CISA exibe um padrão consistente com um operador individual usando o repositório como um bloco de notas de trabalho ou mecanismo de sincronização, em vez de um repositório de projeto com curadoria.
"O uso de um endereço de e-mail associado à CISA e um endereço de e-mail pessoal sugere que o repositório pode ter sido usado em ambientes configurados de forma diferente", observou Caturegli. "Apenas os metadados Git disponíveis não provam qual endpoint ou dispositivo foi usado."
Caturegli disse que validou que as credenciais expostas poderiam autenticar em três contas do AWS GovCloud em um alto nível de privilégio. Ele disse que o arquivo também inclui credenciais em texto simples para o "artifactory" interno da CISA - essencialmente um repositório de todos os pacotes de código que eles estão usando para construir software - e que isso representaria um alvo suculento para invasores mal-intencionados em busca de maneiras de manter uma posição persistente nos sistemas da CISA.
"Esse seria um ótimo lugar para se mover lateralmente", disse ele. "Backdoor em alguns pacotes de software, e toda vez que eles constroem algo novo, eles implantam seu backdoor para todos os lados."
Em resposta a perguntas, um porta-voz da CISA disse que a agência está ciente da exposição relatada e está continuando a investigar a situação.
"Atualmente, não há indicação de que quaisquer dados confidenciais tenham sido comprometidos como resultado deste incidente", escreveu o porta-voz da CISA. "Embora exijamos de nossos membros da equipe os mais altos padrões de integridade e conscientização operacional, estamos trabalhando para garantir que salvaguardas adicionais sejam implementadas para evitar ocorrências futuras."
A análise da conta do GitHub e suas senhas expostas mostra que o repositório "Private CISA" foi mantido por um contratado empregado pela Nightwing, uma contratada do governo com sede em Dulles, Virgínia. A Nightwing se recusou a comentar, direcionando as perguntas para a CISA.
A CISA não respondeu a perguntas sobre a potencial duração da exposição de dados, mas Caturegli disse que o repositório Private CISA foi criado em 13 de novembro de 2025. A conta do GitHub do contratado foi criada em setembro de 2018.
A conta do GitHub que incluía o repositório Private CISA foi retirada do ar logo após o KrebsOnSecurity e a Seralys notificarem a CISA sobre a exposição. Mas Caturegli disse que as chaves do AWS expostas inexplicavelmente continuaram a permanecer válidas por mais 48 horas.
O agora extinto repositório Private CISA mostrou que o contratado também usou senhas fáceis de adivinhar para vários recursos internos; por exemplo, muitas das credenciais usavam uma senha consistindo no nome de cada plataforma seguido pelo ano atual. Caturegli disse que tais práticas constituiriam uma séria ameaça à segurança para qualquer organização, mesmo que essas credenciais nunca fossem expostas externamente, observando que os agentes de ameaças geralmente usam credenciais-chave expostas na rede interna para expandir seu acesso após estabelecer o acesso inicial a um sistema direcionado.
"O que eu suspeito que aconteceu é que [o contratado da CISA] estava usando este GitHub para sincronizar arquivos entre um laptop de trabalho e um computador doméstico, porque ele tem se comprometido regularmente com este repositório desde novembro de 2025", disse Caturegli. "Este seria um vazamento embaraçoso para qualquer empresa, mas é ainda mais neste caso porque é a CISA."
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Até o último fim de semana, um contratado da Cybersecurity & Infrastructure Security Agency (CISA) mantinha um repositório público no GitHub que expôs credenciais para várias contas altamente privilegiadas do AWS GovCloud e um grande número de sistemas internos da CISA. Especialistas em segurança afirmaram que o arquivo público incluía arquivos detalhando como a CISA constrói, testa e implanta software internamente, e que representa um dos vazamentos de dados governamentais mais graves da história recente.
Em 15 de maio, o KrebsOnSecurity ouviu de Guillaume Valadon, pesquisador da empresa de segurança GitGuardian. A empresa de Valadon verifica constantemente repositórios de código público no GitHub e em outros lugares em busca de segredos expostos, alertando automaticamente as contas infratoras sobre quaisquer exposições de dados confidenciais aparentes. Valadon disse que entrou em contato porque o proprietário, neste caso, não estava respondendo e as informações expostas eram altamente sensíveis.
O repositório do GitHub que Valadon sinalizou foi nomeado "Private-CISA" e abrigava um vasto número de credenciais e arquivos internos da CISA/DHS, incluindo chaves de nuvem, tokens, senhas em texto simples, logs e outros ativos confidenciais da CISA. Valadon disse que as credenciais da CISA expostas representam um exemplo clássico de má higiene de segurança, observando que os logs de commit na conta do GitHub infratora mostram que o administrador da CISA desativou a configuração padrão no GitHub que impede os usuários de publicar chaves SSH ou outros segredos em repositórios de código público.
"Senhas armazenadas em texto simples em um csv, backups no git, comandos explícitos para desativar o recurso de detecção de segredos do GitHub", escreveu Valadon em um e-mail. "Eu honestamente acreditei que tudo era falso antes de analisar o conteúdo mais a fundo. Esta é realmente a pior falha que testemunhei em minha carreira. É obviamente um erro individual, mas acredito que pode revelar práticas internas."
Um dos arquivos expostos, intitulado "importantAWStokens", incluía as credenciais administrativas para três servidores Amazon AWS GovCloud. Outro arquivo exposto em seu repositório público no GitHub - "AWS-Workspace-Firefox-Passwords.csv" - listava nomes de usuário e senhas em texto simples para dezenas de sistemas internos da CISA. De acordo com Caturegli, esses sistemas incluíam um chamado "LZ-DSO", que parece abreviação de "Landing Zone DevSecOps", o ambiente seguro de desenvolvimento de código da agência.
Philippe Caturegli, fundador da consultoria de segurança Seralys, disse que testou as chaves do AWS apenas para ver se ainda eram válidas e para determinar quais sistemas internos as contas expostas poderiam acessar. Caturegli disse que a conta do GitHub que expôs os segredos da CISA exibe um padrão consistente com um operador individual usando o repositório como um bloco de notas de trabalho ou mecanismo de sincronização, em vez de um repositório de projeto com curadoria.
"O uso de um endereço de e-mail associado à CISA e um endereço de e-mail pessoal sugere que o repositório pode ter sido usado em ambientes configurados de forma diferente", observou Caturegli. "Apenas os metadados Git disponíveis não provam qual endpoint ou dispositivo foi usado."
Caturegli disse que validou que as credenciais expostas poderiam autenticar em três contas do AWS GovCloud em um alto nível de privilégio. Ele disse que o arquivo também inclui credenciais em texto simples para o "artifactory" interno da CISA - essencialmente um repositório de todos os pacotes de código que eles estão usando para construir software - e que isso representaria um alvo suculento para invasores mal-intencionados em busca de maneiras de manter uma posição persistente nos sistemas da CISA.
"Esse seria um ótimo lugar para se mover lateralmente", disse ele. "Backdoor em alguns pacotes de software, e toda vez que eles constroem algo novo, eles implantam seu backdoor para todos os lados."
Em resposta a perguntas, um porta-voz da CISA disse que a agência está ciente da exposição relatada e está continuando a investigar a situação.
"Atualmente, não há indicação de que quaisquer dados confidenciais tenham sido comprometidos como resultado deste incidente", escreveu o porta-voz da CISA. "Embora exijamos de nossos membros da equipe os mais altos padrões de integridade e conscientização operacional, estamos trabalhando para garantir que salvaguardas adicionais sejam implementadas para evitar ocorrências futuras."
A análise da conta do GitHub e suas senhas expostas mostra que o repositório "Private CISA" foi mantido por um contratado empregado pela Nightwing, uma contratada do governo com sede em Dulles, Virgínia. A Nightwing se recusou a comentar, direcionando as perguntas para a CISA.
A CISA não respondeu a perguntas sobre a potencial duração da exposição de dados, mas Caturegli disse que o repositório Private CISA foi criado em 13 de novembro de 2025. A conta do GitHub do contratado foi criada em setembro de 2018.
A conta do GitHub que incluía o repositório Private CISA foi retirada do ar logo após o KrebsOnSecurity e a Seralys notificarem a CISA sobre a exposição. Mas Caturegli disse que as chaves do AWS expostas inexplicavelmente continuaram a permanecer válidas por mais 48 horas.
O agora extinto repositório Private CISA mostrou que o contratado também usou senhas fáceis de adivinhar para vários recursos internos; por exemplo, muitas das credenciais usavam uma senha consistindo no nome de cada plataforma seguido pelo ano atual. Caturegli disse que tais práticas constituiriam uma séria ameaça à segurança para qualquer organização, mesmo que essas credenciais nunca fossem expostas externamente, observando que os agentes de ameaças geralmente usam credenciais-chave expostas na rede interna para expandir seu acesso após estabelecer o acesso inicial a um sistema direcionado.
"O que eu suspeito que aconteceu é que [o contratado da CISA] estava usando este GitHub para sincronizar arquivos entre um laptop de trabalho e um computador doméstico, porque ele tem se comprometido regularmente com este repositório desde novembro de 2025", disse Caturegli. "Este seria um vazamento embaraçoso para qualquer empresa, mas é ainda mais neste caso porque é a CISA."
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
