A CISA expôs senhas e chaves de nuvem em um repositório público do GitHub.
A CISA está investigando uma exposição de credenciais que deixou senhas, tokens de acesso e chaves de cloud ligadas a sistemas da agência expostas publicamente em um repositório do GitHub. O caso, revelado primeiro pelo repórter independente de segurança Brian Krebs e depois reportado pelo TechCrunch, parece ter se originado em um repositório mantido por um funcionário de uma contratada da CISA.
De acordo com as reportagens, o pesquisador da GitGuardian Guillaume Valadon encontrou planilhas com credenciais em texto puro que poderiam ser usadas para acessar sistemas ligados à CISA e ao Departamento de Segurança Interna (DHS). Valadon disse que verificou que pelo menos algumas das credenciais eram válidas antes de reportar o problema. Esse detalhe é importante: não se tratava de dados arquivados descuidadamente ou material de teste obsoleto em um repositório esquecido. Era material de acesso ativo exposto na web aberta.
A pergunta imediata é se alguém além do pesquisador encontrou e usou as credenciais antes de serem reportadas. Até o momento da publicação, a CISA não disse publicamente se há evidências de invasão subsequente ligada à exposição. Mesmo assim, o incidente é grave por si só. A CISA é a agência federal responsável por melhorar a defesa cibernética nas redes civis do governo, e rotineiramente aconselha outras organizações a evitar exatamente esse tipo de prática.
O problema maior é de governança, não apenas um repositório problemático. Sistemas governamentais modernos dependem pesadamente de contratadas, ambientes de cloud compartilhados e cadeias de acesso extensas, o que dificulta o controle do gerenciamento de segredos. Quando credenciais são tratadas em planilhas em vez de um workflow adequado de gerenciamento de segredos, a falha raramente é isolada a uma pessoa. Geralmente aponta para controles de revisão fracos, disciplina operacional deficiente ou ambos.
Isso também chega em um momento complicado para a agência. A CISA está sem um diretor permanente desde o início de 2025, e cortes recentes de pessoal levantaram preocupações sobre quanta capacidade de supervisão ainda existe dentro da organização. Isso não prova que a exposição foi causada por falta de pessoal, mas aumenta as apostas políticas e operacionais. Uma agência responsável por definir o tom na segurança cibernética federal não pode se dar ao luxo de cometer erros públicos que pareçam tão evitáveis.
Para equipes de segurança fora do governo, a lição é familiar, mas ainda ignorada com frequência: segredos nunca devem viver em documentos de texto puro que podem parar em sistemas de controle de versão, drives compartilhados ou exportações não gerenciadas. Rotação, acesso com privilégio mínimo, varredura de repositórios e controles específicos para contratadas são defesas básicas, mas só funcionam quando aplicadas de forma consistente.
A IRCNF baseou sua avaliação na reportagem do TechCrunch sobre o incidente e no relato original de Krebs. Até que a CISA divulgue se as chaves expostas foram usadas indevidamente, a história é melhor compreendida como uma exposição grave com implicações potencialmente maiores, e não como uma violação destrutiva confirmada.
Originally reported by TechCrunch. Read the original article for additional details.
View original source