CISA Armazena Credenciais e Segredos em Repositório Público no GitHub: Uma Falha Grave de Segurança
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) expôs dados confidenciais, incluindo senhas em texto simples e chaves privadas, em um repositório público do GitHub. A falha, que permitiu o acesso a informações sensíveis da infraestrutura da agência, levanta sérias preocupações sobre as práticas de segurança da CISA.
MundiX News·26 de maio de 2026·3 min de leitura·👁 3 views
Pesquisadores descobriram que a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos Estados Unidos deixou um repositório do GitHub aberto, contendo uma vasta quantidade de dados confidenciais. Dentro do repositório, foram encontradas senhas em texto simples, chaves SSH privadas, tokens da AWS, configurações do Kubernetes, código Terraform, certificados Entra ID e outros segredos relacionados à infraestrutura interna da agência.
O repositório, com o nome sugestivo de Private-CISA, esteve publicamente acessível pelo menos desde novembro de 2025. O especialista da GitGuardian, Guillaume Valadon, foi o primeiro a notar o problema, descobrindo a falha durante uma varredura automatizada do GitHub. Segundo ele, o repositório continha cerca de 844 MB de materiais relacionados à infraestrutura da CISA. Inicialmente, Valadon suspeitou que se tratava de uma armadilha, devido aos nomes suspeitos dos diretórios, como "All Backups", "Kubernetes-Important-Yaml-Files" ou "ENTRA ID - SAML Certificates". Os nomes dos arquivos também eram reveladores: "Important AWS Tokens.txt", "AWS-Workspace-Firefox-Passwords.csv", "Kube-Config.txt" e "external-secret-repo-creds.yaml".
No entanto, a verificação confirmou que os dados eram autênticos. Philippe Caturegli, fundador da Seralys, relatou que conseguiu usar as credenciais encontradas para acessar várias contas AWS GovCloud com altos privilégios. De acordo com o renomado jornalista de segurança da informação, Brian Krebs, o repositório provavelmente era mantido pela Nightwing, uma empresa contratada pela CISA. Os logs de commits indicam que os mecanismos integrados do GitHub para detecção de segredos foram desativados no repositório. Ou seja, a proteção que deveria prevenir tais vazamentos foi desativada manualmente. Valadon tentou notificar a CISA sobre o vazamento através do CERT/CC, mas recebeu apenas uma resposta automática. Posteriormente, ele contatou Brian Krebs, e o repositório foi removido do ar.
Representantes da CISA confirmaram à mídia que estão investigando o incidente, mas afirmaram que ainda não encontraram evidências de comprometimento de dados. A GitGuardian também enfatiza que não tem conhecimento de qualquer uso indevido das chaves e tokens vazados. Os pesquisadores destacam que o problema não se limita à publicação dos segredos. O repositório representava um verdadeiro concentrado de práticas inseguras: senhas em texto simples, backups no Git, chaves privadas e a desativação da proteção integrada do GitHub contra vazamentos. Além disso, os commits no repositório foram feitos simultaneamente a partir do endereço de e-mail do contratante da CISA e de um e-mail pessoal do Yahoo, e o próprio repositório foi criado através de uma conta pessoal do GitHub. Segundo Valadon, a combinação desses fatores abriu as portas para uma ampla gama de ataques, desde operações de ransomware até a infiltração furtiva na infraestrutura CI/CD da agência. O pesquisador ficou mais preocupado com a possibilidade de uma presença de longo prazo de invasores na cadeia de desenvolvimento e administração da CISA.
Vale ressaltar que este não é o primeiro incidente de segurança da informação de alto perfil envolvendo a CISA nos últimos tempos. Em janeiro de 2026, o diretor interino da CISA, Madhu Gottumukkala, carregou documentos oficiais do governo no ChatGPT. Em fevereiro de 2026, Gottumukkala foi afastado do cargo.
Pesquisadores descobriram que a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos Estados Unidos deixou um repositório do GitHub aberto, contendo uma vasta quantidade de dados confidenciais. Dentro do repositório, foram encontradas senhas em texto simples, chaves SSH privadas, tokens da AWS, configurações do Kubernetes, código Terraform, certificados Entra ID e outros segredos relacionados à infraestrutura interna da agência.
O repositório, com o nome sugestivo de Private-CISA, esteve publicamente acessível pelo menos desde novembro de 2025. O especialista da GitGuardian, Guillaume Valadon, foi o primeiro a notar o problema, descobrindo a falha durante uma varredura automatizada do GitHub. Segundo ele, o repositório continha cerca de 844 MB de materiais relacionados à infraestrutura da CISA. Inicialmente, Valadon suspeitou que se tratava de uma armadilha, devido aos nomes suspeitos dos diretórios, como "All Backups", "Kubernetes-Important-Yaml-Files" ou "ENTRA ID - SAML Certificates". Os nomes dos arquivos também eram reveladores: "Important AWS Tokens.txt", "AWS-Workspace-Firefox-Passwords.csv", "Kube-Config.txt" e "external-secret-repo-creds.yaml".
No entanto, a verificação confirmou que os dados eram autênticos. Philippe Caturegli, fundador da Seralys, relatou que conseguiu usar as credenciais encontradas para acessar várias contas AWS GovCloud com altos privilégios. De acordo com o renomado jornalista de segurança da informação, Brian Krebs, o repositório provavelmente era mantido pela Nightwing, uma empresa contratada pela CISA. Os logs de commits indicam que os mecanismos integrados do GitHub para detecção de segredos foram desativados no repositório. Ou seja, a proteção que deveria prevenir tais vazamentos foi desativada manualmente. Valadon tentou notificar a CISA sobre o vazamento através do CERT/CC, mas recebeu apenas uma resposta automática. Posteriormente, ele contatou Brian Krebs, e o repositório foi removido do ar.
Representantes da CISA confirmaram à mídia que estão investigando o incidente, mas afirmaram que ainda não encontraram evidências de comprometimento de dados. A GitGuardian também enfatiza que não tem conhecimento de qualquer uso indevido das chaves e tokens vazados. Os pesquisadores destacam que o problema não se limita à publicação dos segredos. O repositório representava um verdadeiro concentrado de práticas inseguras: senhas em texto simples, backups no Git, chaves privadas e a desativação da proteção integrada do GitHub contra vazamentos. Além disso, os commits no repositório foram feitos simultaneamente a partir do endereço de e-mail do contratante da CISA e de um e-mail pessoal do Yahoo, e o próprio repositório foi criado através de uma conta pessoal do GitHub. Segundo Valadon, a combinação desses fatores abriu as portas para uma ampla gama de ataques, desde operações de ransomware até a infiltração furtiva na infraestrutura CI/CD da agência. O pesquisador ficou mais preocupado com a possibilidade de uma presença de longo prazo de invasores na cadeia de desenvolvimento e administração da CISA.
Vale ressaltar que este não é o primeiro incidente de segurança da informação de alto perfil envolvendo a CISA nos últimos tempos. Em janeiro de 2026, o diretor interino da CISA, Madhu Gottumukkala, carregou documentos oficiais do governo no ChatGPT. Em fevereiro de 2026, Gottumukkala foi afastado do cargo.
