El investigador de seguridad Brian Krebs nos trae noticias pertenece a américa Agencia de Infraestructura y Ciberseguridad (CISA) ha tenido una gran cantidad de contraseñas de texto plano, claves privadas SSH, tokens y “otros activos confidenciales de CISA” expuestos en repositorios públicos de GitHub desde al menos noviembre de 2025.
El repositorio público ahora fuera de línea, denominado, aspiracionalmente, “Privado-CISA”, llamó la atención de Krebs gracias a GitGuardian. Guillaume Valadonque se notifica de la presencia del repositorio mediante el escaneo de código público de GitGuardian. Krebs dijo que Valadon se acercó a él después de no recibir respuesta del propietario del repositorio Private-CISA.
En un correo electrónico a Krebs, Valadon afirmó que los registros de implementación del repositorio mostraban que las protecciones predeterminadas de GitHub contra implementaciones confidenciales (protecciones diseñadas para proteger a desarrolladores inconscientes o no capacitados contra este tipo de idiotez) habían sido deshabilitadas por el administrador del repositorio.
Prueba por Philippe Caturegli, fundador de Seralys indicando que esto no era una broma ni un engaño y que pudo usar credenciales en el repositorio Private-CISA para obtener acceso a múltiples cuentas GovCloud de Amazon Web Services “con un alto nivel de privilegio”.
Krebs señaló que el repositorio parece ser administrado por alguien con sede en Virginia. alas de nocheContratista CISA. Hasta ahora, Nightwing no ha hecho comentarios públicos, sino que ha remitido las preguntas a CISA.
Esta no es la primera vez que CISA comete un error; de hecho, no es la primera vez este año. En enero, polígrafo fallido El director interino de CISA, Madhu Gottumukkala, subió documentos gubernamentales confidenciales a ChatGPT después de exigir y recibir una excepción a la política de la agencia que prohíbe el uso de ChatGPT por parte del personal de CISA. Gottumukkala primero removido de su cargo en febrero.
