Legisladores Exigem Respostas Enquanto a CISA Tenta Conter Vazamento de Dados

Legisladores Exigem Respostas Enquanto a CISA Tenta Conter Vazamento de Dados

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) enfrenta pressão de legisladores após um contratado vazar dados confidenciais em um repositório público do GitHub. A falha de segurança expôs credenciais e segredos internos, levantando sérias preocupações sobre a cultura de segurança da agência.

MundiX News·23 de maio de 2026·7 min de leitura·👁 16 views

Legisladores de ambas as casas do Congresso estão exigindo respostas da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) após o KrebsOnSecurity relatar esta semana que um contratado da CISA publicou intencionalmente chaves do AWS GovCloud e uma vasta quantidade de outros segredos da agência em uma conta pública do GitHub. A investigação surge enquanto a CISA ainda luta para conter a violação e invalidar as credenciais vazadas.

Em 18 de maio, o KrebsOnSecurity relatou que um contratado da CISA com acesso administrativo à plataforma de desenvolvimento de código da agência havia criado um perfil público no GitHub chamado “Private-CISA”, que incluía credenciais em texto simples para dezenas de sistemas internos da CISA. Especialistas que analisaram os segredos expostos disseram que os logs de commit do repositório de código mostraram que o contratado da CISA desativou a proteção integrada do GitHub contra a publicação de credenciais sensíveis em repositórios públicos. A CISA reconheceu o vazamento, mas não respondeu a perguntas sobre a duração da exposição dos dados. No entanto, especialistas que analisaram o arquivo Private-CISA, agora desativado, disseram que ele foi originalmente criado em novembro de 2025 e que exibe um padrão consistente com um operador individual usando o repositório como um bloco de notas de trabalho ou mecanismo de sincronização, em vez de um repositório de projeto com curadoria.

Em uma declaração escrita, a CISA disse que “não há indicação de que quaisquer dados sensíveis tenham sido comprometidos como resultado do incidente”. Mas em uma carta de 19 de maio (PDF) à Diretora Interina da CISA, Nick Andersen, a Senadora Maggie Hassan (D-NH) disse que o vazamento de credenciais levanta sérias questões sobre como tal falha de segurança poderia ocorrer na própria agência encarregada de ajudar a prevenir violações cibernéticas. “Este relatório levanta sérias preocupações em relação às políticas e procedimentos internos da CISA em um momento de significativas ameaças de segurança cibernética contra a infraestrutura crítica dos EUA”, escreveu a Senadora Hassan. Uma carta de 19 de maio da Senadora Margaret Hassan (D-NH) ao diretor interino da CISA exigiu respostas para uma dúzia de perguntas sobre a violação. A Senadora Hassan observou que o incidente ocorreu em meio a grandes interrupções internamente na CISA, que perdeu mais de um terço de sua força de trabalho e quase todos os seus líderes seniores depois que o governo Trump forçou uma série de aposentadorias antecipadas, indenizações e renúncias em todas as várias divisões da agência. O Deputado Bennie Thompson (D-MS), o membro de classificação no Comitê de Segurança Interna da Câmara, ecoou as preocupações da senadora. “Estamos preocupados que este incidente reflita uma cultura de segurança diminuída e/ou uma incapacidade da CISA de gerenciar adequadamente seu suporte contratual”, escreveu Thompson em uma carta de 19 de maio ao chefe interino da CISA, que foi co-assinada pela Deputada Delia Ramirez (D-Ill), a membro de classificação da Subcomissão de Segurança Cibernética e Proteção de Infraestrutura do painel. “Não é segredo que nossos adversários — como China, Rússia e Irã — buscam obter acesso e persistência em redes federais. Os arquivos contidos no repositório ‘Private-CISA’ forneceram as informações, o acesso e o roteiro para fazer exatamente isso.”

O KrebsOnSecurity soube que, mais de uma semana depois que a CISA foi notificada pela primeira vez sobre o vazamento de dados pela empresa de segurança GitGuardian, a agência ainda está trabalhando para invalidar e substituir muitas das chaves e segredos expostos. Em 20 de maio, o KrebsOnSecurity ouviu de Dylan Ayrey, o criador do TruffleHog, uma ferramenta de código aberto para descobrir chaves privadas e outros segredos enterrados em código hospedado no GitHub e em outras plataformas públicas. Ayrey disse que a CISA ainda não havia invalidado uma chave privada RSA exposta no repositório Private-CISA que concedia acesso a um aplicativo do GitHub que é de propriedade da conta corporativa da CISA e instalado na organização CISA-IT do GitHub com acesso total a todos os repositórios de código. “Um invasor com esta chave pode ler o código-fonte de todos os repositórios na organização CISA-IT, incluindo repositórios privados, registrar executores auto-hospedados desonestos para sequestrar pipelines CI/CD e acessar segredos do repositório, e modificar as configurações de administração do repositório, incluindo regras de proteção de ramificação, webhooks e chaves de implantação”, disse Ayrey ao KrebsOnSecurity. CI/CD significa Integração Contínua e Entrega Contínua, e refere-se a um conjunto de práticas usadas para automatizar a construção, teste e implantação de software. O KrebsOnSecurity notificou a CISA sobre as descobertas de Ayrey em 20 de maio. A CISA reconheceu o recebimento desse relatório, mas não respondeu a perguntas de acompanhamento. Ayrey disse que a CISA parece ter invalidado a chave privada RSA exposta em algum momento após essa notificação. Mas ele observou que a CISA ainda não rotacionou as credenciais vazadas vinculadas a outras tecnologias de segurança críticas que são implantadas em todo o portfólio de tecnologia da agência (o KrebsOnSecurity não está nomeando essas tecnologias publicamente por enquanto). Ayrey disse que sua empresa Truffle Security monitora o GitHub e uma série de outras plataformas de código em busca de chaves expostas e tenta alertar as contas afetadas sobre a exposição de dados sensíveis. O TruffleHog faz isso monitorando um feed ao vivo que o GitHub publica, que inclui um registro de todos os commits e alterações em repositórios de código públicos. Mas ele disse que os atores criminosos cibernéticos também monitoram esses feeds públicos e geralmente são rápidos em atacar chaves de API ou SSH que são inadvertidamente publicadas em commits de código. O repositório Private-CISA do GitHub expôs dezenas de credenciais em texto simples para importantes recursos do CISA GovCloud. Em termos práticos, é provável que grupos de crimes cibernéticos ou adversários estrangeiros também tenham notado a publicação desses segredos da CISA, o mais flagrante dos quais parece ter ocorrido no final de abril de 2025, disse Ayrey. “Monitoramos essa torrente de dados em busca de chaves e temos ferramentas para tentar descobrir de quem são”, disse ele. “Temos evidências de que os invasores também monitoram essa torrente. Qualquer pessoa que monitore os eventos do GitHub pode estar de posse dessas informações.” James Wilson, o editor de tecnologia empresarial do podcast de segurança Risky Business, disse que as organizações que usam o GitHub para gerenciar projetos de código podem definir políticas de cima para baixo que impedem que os funcionários desativem as proteções do GitHub contra a publicação de chaves e credenciais secretas. Mas o co-apresentador de Wilson, Adam Boileau, disse que não está claro que qualquer tecnologia poderia impedir que os funcionários abrissem sua própria conta pessoal do GitHub e a usassem para armazenar informações sensíveis e proprietárias. “Em última análise, este é um problema que você não pode resolver com um controle técnico”, disse Boileau no podcast desta semana. “Este é um problema humano em que você contratou um contratado para fazer este trabalho e ele decidiu por sua própria vontade usar o GitHub para sincronizar o conteúdo de uma máquina de trabalho para uma máquina doméstica. Não sei quais controles técnicos você poderia implementar, dado que isso está sendo feito presumivelmente fora de qualquer coisa que a CISA gerenciou ou mesmo teve visibilidade.”

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.