Legisladores Exigem Respostas Enquanto a CISA Tenta Conter Vazamento de Dados
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) enfrenta pressão de legisladores após um contratado vazar dados confidenciais em um repositório público do GitHub. A falha de segurança expôs credenciais e segredos internos, levantando sérias preocupações sobre a cultura de segurança da agência.
MundiX News·23 de maio de 2026·7 min de leitura·👁 6 views
Legisladores de ambas as casas do Congresso estão exigindo respostas da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) após o KrebsOnSecurity relatar esta semana que um contratado da CISA publicou intencionalmente chaves do AWS GovCloud e uma vasta quantidade de outros segredos da agência em uma conta pública do GitHub. A investigação surge enquanto a CISA ainda luta para conter a violação e invalidar as credenciais vazadas.
Em 18 de maio, o KrebsOnSecurity relatou que um contratado da CISA com acesso administrativo à plataforma de desenvolvimento de código da agência havia criado um perfil público no GitHub chamado “Private-CISA”, que incluía credenciais em texto simples para dezenas de sistemas internos da CISA. Especialistas que analisaram os segredos expostos disseram que os logs de commit do repositório de código mostraram que o contratado da CISA desativou a proteção integrada do GitHub contra a publicação de credenciais sensíveis em repositórios públicos. A CISA reconheceu o vazamento, mas não respondeu a perguntas sobre a duração da exposição dos dados. No entanto, especialistas que analisaram o arquivo Private-CISA, agora desativado, disseram que ele foi originalmente criado em novembro de 2025 e que exibe um padrão consistente com um operador individual usando o repositório como um bloco de notas de trabalho ou mecanismo de sincronização, em vez de um repositório de projeto com curadoria.
Em uma declaração escrita, a CISA disse que “não há indicação de que quaisquer dados sensíveis tenham sido comprometidos como resultado do incidente”. Mas em uma carta de 19 de maio (PDF) à Diretora Interina da CISA, Nick Andersen, a Senadora Maggie Hassan (D-NH) disse que o vazamento de credenciais levanta sérias questões sobre como tal falha de segurança poderia ocorrer na própria agência encarregada de ajudar a prevenir violações cibernéticas. “Este relatório levanta sérias preocupações em relação às políticas e procedimentos internos da CISA em um momento de significativas ameaças de segurança cibernética contra a infraestrutura crítica dos EUA”, escreveu a Senadora Hassan. Uma carta de 19 de maio da Senadora Margaret Hassan (D-NH) ao diretor interino da CISA exigiu respostas para uma dúzia de perguntas sobre a violação. A Senadora Hassan observou que o incidente ocorreu em meio a grandes interrupções internamente na CISA, que perdeu mais de um terço de sua força de trabalho e quase todos os seus líderes seniores depois que o governo Trump forçou uma série de aposentadorias antecipadas, indenizações e renúncias em todas as várias divisões da agência. O Deputado Bennie Thompson (D-MS), o membro de classificação no Comitê de Segurança Interna da Câmara, ecoou as preocupações da senadora. “Estamos preocupados que este incidente reflita uma cultura de segurança diminuída e/ou uma incapacidade da CISA de gerenciar adequadamente seu suporte contratual”, escreveu Thompson em uma carta de 19 de maio ao chefe interino da CISA, que foi co-assinada pela Deputada Delia Ramirez (D-Ill), a membro de classificação da Subcomissão de Segurança Cibernética e Proteção de Infraestrutura do painel. “Não é segredo que nossos adversários — como China, Rússia e Irã — buscam obter acesso e persistência em redes federais. Os arquivos contidos no repositório ‘Private-CISA’ forneceram as informações, o acesso e o roteiro para fazer exatamente isso.”
O KrebsOnSecurity soube que, mais de uma semana depois que a CISA foi notificada pela primeira vez sobre o vazamento de dados pela empresa de segurança GitGuardian, a agência ainda está trabalhando para invalidar e substituir muitas das chaves e segredos expostos. Em 20 de maio, o KrebsOnSecurity ouviu de Dylan Ayrey, o criador do TruffleHog, uma ferramenta de código aberto para descobrir chaves privadas e outros segredos enterrados em código hospedado no GitHub e em outras plataformas públicas. Ayrey disse que a CISA ainda não havia invalidado uma chave privada RSA exposta no repositório Private-CISA que concedia acesso a um aplicativo do GitHub que é de propriedade da conta corporativa da CISA e instalado na organização CISA-IT do GitHub com acesso total a todos os repositórios de código. “Um invasor com esta chave pode ler o código-fonte de todos os repositórios na organização CISA-IT, incluindo repositórios privados, registrar executores auto-hospedados desonestos para sequestrar pipelines CI/CD e acessar segredos do repositório, e modificar as configurações de administração do repositório, incluindo regras de proteção de ramificação, webhooks e chaves de implantação”, disse Ayrey ao KrebsOnSecurity. CI/CD significa Integração Contínua e Entrega Contínua, e refere-se a um conjunto de práticas usadas para automatizar a construção, teste e implantação de software. O KrebsOnSecurity notificou a CISA sobre as descobertas de Ayrey em 20 de maio. A CISA reconheceu o recebimento desse relatório, mas não respondeu a perguntas de acompanhamento. Ayrey disse que a CISA parece ter invalidado a chave privada RSA exposta em algum momento após essa notificação. Mas ele observou que a CISA ainda não rotacionou as credenciais vazadas vinculadas a outras tecnologias de segurança críticas que são implantadas em todo o portfólio de tecnologia da agência (o KrebsOnSecurity não está nomeando essas tecnologias publicamente por enquanto). Ayrey disse que sua empresa Truffle Security monitora o GitHub e uma série de outras plataformas de código em busca de chaves expostas e tenta alertar as contas afetadas sobre a exposição de dados sensíveis. O TruffleHog faz isso monitorando um feed ao vivo que o GitHub publica, que inclui um registro de todos os commits e alterações em repositórios de código públicos. Mas ele disse que os atores criminosos cibernéticos também monitoram esses feeds públicos e geralmente são rápidos em atacar chaves de API ou SSH que são inadvertidamente publicadas em commits de código. O repositório Private-CISA do GitHub expôs dezenas de credenciais em texto simples para importantes recursos do CISA GovCloud. Em termos práticos, é provável que grupos de crimes cibernéticos ou adversários estrangeiros também tenham notado a publicação desses segredos da CISA, o mais flagrante dos quais parece ter ocorrido no final de abril de 2025, disse Ayrey. “Monitoramos essa torrente de dados em busca de chaves e temos ferramentas para tentar descobrir de quem são”, disse ele. “Temos evidências de que os invasores também monitoram essa torrente. Qualquer pessoa que monitore os eventos do GitHub pode estar de posse dessas informações.” James Wilson, o editor de tecnologia empresarial do podcast de segurança Risky Business, disse que as organizações que usam o GitHub para gerenciar projetos de código podem definir políticas de cima para baixo que impedem que os funcionários desativem as proteções do GitHub contra a publicação de chaves e credenciais secretas. Mas o co-apresentador de Wilson, Adam Boileau, disse que não está claro que qualquer tecnologia poderia impedir que os funcionários abrissem sua própria conta pessoal do GitHub e a usassem para armazenar informações sensíveis e proprietárias. “Em última análise, este é um problema que você não pode resolver com um controle técnico”, disse Boileau no podcast desta semana. “Este é um problema humano em que você contratou um contratado para fazer este trabalho e ele decidiu por sua própria vontade usar o GitHub para sincronizar o conteúdo de uma máquina de trabalho para uma máquina doméstica. Não sei quais controles técnicos você poderia implementar, dado que isso está sendo feito presumivelmente fora de qualquer coisa que a CISA gerenciou ou mesmo teve visibilidade.”
Legisladores de ambas as casas do Congresso estão exigindo respostas da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) após o KrebsOnSecurity relatar esta semana que um contratado da CISA publicou intencionalmente chaves do AWS GovCloud e uma vasta quantidade de outros segredos da agência em uma conta pública do GitHub. A investigação surge enquanto a CISA ainda luta para conter a violação e invalidar as credenciais vazadas.
Em 18 de maio, o KrebsOnSecurity relatou que um contratado da CISA com acesso administrativo à plataforma de desenvolvimento de código da agência havia criado um perfil público no GitHub chamado “Private-CISA”, que incluía credenciais em texto simples para dezenas de sistemas internos da CISA. Especialistas que analisaram os segredos expostos disseram que os logs de commit do repositório de código mostraram que o contratado da CISA desativou a proteção integrada do GitHub contra a publicação de credenciais sensíveis em repositórios públicos. A CISA reconheceu o vazamento, mas não respondeu a perguntas sobre a duração da exposição dos dados. No entanto, especialistas que analisaram o arquivo Private-CISA, agora desativado, disseram que ele foi originalmente criado em novembro de 2025 e que exibe um padrão consistente com um operador individual usando o repositório como um bloco de notas de trabalho ou mecanismo de sincronização, em vez de um repositório de projeto com curadoria.
Em uma declaração escrita, a CISA disse que “não há indicação de que quaisquer dados sensíveis tenham sido comprometidos como resultado do incidente”. Mas em uma carta de 19 de maio (PDF) à Diretora Interina da CISA, Nick Andersen, a Senadora Maggie Hassan (D-NH) disse que o vazamento de credenciais levanta sérias questões sobre como tal falha de segurança poderia ocorrer na própria agência encarregada de ajudar a prevenir violações cibernéticas. “Este relatório levanta sérias preocupações em relação às políticas e procedimentos internos da CISA em um momento de significativas ameaças de segurança cibernética contra a infraestrutura crítica dos EUA”, escreveu a Senadora Hassan. Uma carta de 19 de maio da Senadora Margaret Hassan (D-NH) ao diretor interino da CISA exigiu respostas para uma dúzia de perguntas sobre a violação. A Senadora Hassan observou que o incidente ocorreu em meio a grandes interrupções internamente na CISA, que perdeu mais de um terço de sua força de trabalho e quase todos os seus líderes seniores depois que o governo Trump forçou uma série de aposentadorias antecipadas, indenizações e renúncias em todas as várias divisões da agência. O Deputado Bennie Thompson (D-MS), o membro de classificação no Comitê de Segurança Interna da Câmara, ecoou as preocupações da senadora. “Estamos preocupados que este incidente reflita uma cultura de segurança diminuída e/ou uma incapacidade da CISA de gerenciar adequadamente seu suporte contratual”, escreveu Thompson em uma carta de 19 de maio ao chefe interino da CISA, que foi co-assinada pela Deputada Delia Ramirez (D-Ill), a membro de classificação da Subcomissão de Segurança Cibernética e Proteção de Infraestrutura do painel. “Não é segredo que nossos adversários — como China, Rússia e Irã — buscam obter acesso e persistência em redes federais. Os arquivos contidos no repositório ‘Private-CISA’ forneceram as informações, o acesso e o roteiro para fazer exatamente isso.”
O KrebsOnSecurity soube que, mais de uma semana depois que a CISA foi notificada pela primeira vez sobre o vazamento de dados pela empresa de segurança GitGuardian, a agência ainda está trabalhando para invalidar e substituir muitas das chaves e segredos expostos. Em 20 de maio, o KrebsOnSecurity ouviu de Dylan Ayrey, o criador do TruffleHog, uma ferramenta de código aberto para descobrir chaves privadas e outros segredos enterrados em código hospedado no GitHub e em outras plataformas públicas. Ayrey disse que a CISA ainda não havia invalidado uma chave privada RSA exposta no repositório Private-CISA que concedia acesso a um aplicativo do GitHub que é de propriedade da conta corporativa da CISA e instalado na organização CISA-IT do GitHub com acesso total a todos os repositórios de código. “Um invasor com esta chave pode ler o código-fonte de todos os repositórios na organização CISA-IT, incluindo repositórios privados, registrar executores auto-hospedados desonestos para sequestrar pipelines CI/CD e acessar segredos do repositório, e modificar as configurações de administração do repositório, incluindo regras de proteção de ramificação, webhooks e chaves de implantação”, disse Ayrey ao KrebsOnSecurity. CI/CD significa Integração Contínua e Entrega Contínua, e refere-se a um conjunto de práticas usadas para automatizar a construção, teste e implantação de software. O KrebsOnSecurity notificou a CISA sobre as descobertas de Ayrey em 20 de maio. A CISA reconheceu o recebimento desse relatório, mas não respondeu a perguntas de acompanhamento. Ayrey disse que a CISA parece ter invalidado a chave privada RSA exposta em algum momento após essa notificação. Mas ele observou que a CISA ainda não rotacionou as credenciais vazadas vinculadas a outras tecnologias de segurança críticas que são implantadas em todo o portfólio de tecnologia da agência (o KrebsOnSecurity não está nomeando essas tecnologias publicamente por enquanto). Ayrey disse que sua empresa Truffle Security monitora o GitHub e uma série de outras plataformas de código em busca de chaves expostas e tenta alertar as contas afetadas sobre a exposição de dados sensíveis. O TruffleHog faz isso monitorando um feed ao vivo que o GitHub publica, que inclui um registro de todos os commits e alterações em repositórios de código públicos. Mas ele disse que os atores criminosos cibernéticos também monitoram esses feeds públicos e geralmente são rápidos em atacar chaves de API ou SSH que são inadvertidamente publicadas em commits de código. O repositório Private-CISA do GitHub expôs dezenas de credenciais em texto simples para importantes recursos do CISA GovCloud. Em termos práticos, é provável que grupos de crimes cibernéticos ou adversários estrangeiros também tenham notado a publicação desses segredos da CISA, o mais flagrante dos quais parece ter ocorrido no final de abril de 2025, disse Ayrey. “Monitoramos essa torrente de dados em busca de chaves e temos ferramentas para tentar descobrir de quem são”, disse ele. “Temos evidências de que os invasores também monitoram essa torrente. Qualquer pessoa que monitore os eventos do GitHub pode estar de posse dessas informações.” James Wilson, o editor de tecnologia empresarial do podcast de segurança Risky Business, disse que as organizações que usam o GitHub para gerenciar projetos de código podem definir políticas de cima para baixo que impedem que os funcionários desativem as proteções do GitHub contra a publicação de chaves e credenciais secretas. Mas o co-apresentador de Wilson, Adam Boileau, disse que não está claro que qualquer tecnologia poderia impedir que os funcionários abrissem sua própria conta pessoal do GitHub e a usassem para armazenar informações sensíveis e proprietárias. “Em última análise, este é um problema que você não pode resolver com um controle técnico”, disse Boileau no podcast desta semana. “Este é um problema humano em que você contratou um contratado para fazer este trabalho e ele decidiu por sua própria vontade usar o GitHub para sincronizar o conteúdo de uma máquina de trabalho para uma máquina doméstica. Não sei quais controles técnicos você poderia implementar, dado que isso está sendo feito presumivelmente fora de qualquer coisa que a CISA gerenciou ou mesmo teve visibilidade.”
