Zbulim i tronditës: kredencialet sekrete të CISA në një repo publik GitHub

Kërkuesi i sigurisë kibernetike Brian Krebs ka sjellë në vëmendje një incident serioz në të cilin Agjencia Amerikane për Sigurinë Kibernetike dhe Infrastrukturën (CISA) ka lënë të ekspozuara në një depo publike GitHub një sasi të madhe kredencialesh, përfshirë fjalëkalime në tekst të thjeshtë, çelësa private SSH, token-e dhe “asete të tjera të ndjeshme” që ishin të dukshme që nga nëntori 2025.

Depoja, e emëruar “Private-CISA”, u bë e dukshme për Krebs falë sinjalit të dhënë nga Guillaume Valadon i GitGuardian, i cili e kishte zbuluar përmes skanimeve publike të kodit. Valadon i ka dërguar një email Krebs-it, duke theksuar se regjistrat e komitimeve tregojnë se mbrojtjet e parazgjedhura të GitHub për parandalimin e komitimit të sekreteve – mjete të krijuara për të mbrojtur zhvilluesit e paekspertuar nga gabime të tilla – ishin çaktivizuar nga administratori i depot.

Testimet e kryera nga Philippe Caturegli, themeluesi i kompanisë Seralys, kanë konfirmuar se çështja nuk ishte thjesht një shaka. Ai arriti të përdorë kredencialet e depo-s “Private-CISA” për të hyrë në disa llogari Amazon Web Services GovCloud me nivel të lartë privilegjesh. Sipas Krebs-it, depoja duket të jetë menaxhuar nga Nightwing, një kontraktor i bazuar në Virginia për CISA, i cili deri tani ka shmangur të komentojë publikisht dhe i referon pyetjet drejtpërdrejt CISA-s.

Ky rast nuk është i vetëm në historinë e CISA-s. Në janar të vitit të kaluar, drejtorja e përkohshme Madhu Gottumukkala, e cila kishte dështuar në poligraf, ngarkoi dokumente të ndjeshme qeveritare në platformën ChatGPT pasi mori një përjashtim nga politika e agjencisë që ndalon përdorimin e këtij mjeti nga stafi i CISA-s. Ajo u heq nga roli i saj në shkurt, duke nxjerrë në pah një seri gabimesh të ngjashme brenda agjencisë këtë vit.