Auf den Punkt: Ein CISA-Auftragnehmer speicherte administrative AWS-GovCloud-Credentials, Passwörter im Klartext und Zugriffstokens in einem öffentlichen GitHub-Repository, nachdem er GitHub-eigene Secrets-Detection absichtlich deaktivierte.
Ein Auftragnehmer der US-Cybersecurity & Infrastructure Security Agency (CISA) veröffentlichte bis Mai 2026 ein öffentliches GitHub-Repository mit administrativen AWS-Zugangsdaten und internen CISA-Systemzugriffsdaten. Ein Sicherheitsbeamter der US-Behörde halbierte damit absichtlich die Sicherheit eines der kritischsten Systeme der Bundesregierung.
Das öffentlich zugängliche Repository „Private-CISA“ enthielt eine Vielzahl sensibler Materialien: AWS-Schlüssel mit administrativen Rechten für drei GovCloud-Konten, Passwörter im Klartext in CSV-Dateien, Authentifizierungs-Tokens, Logs und Zugriffsdaten für interne CISA-Systeme. Eine Datei namens „AWS-Workspace-Firefox-Passwords.csv“ listete Benutzernamen und Passwörter für Dutzende CISA-interner Systeme auf, darunter das System „LZ-DSO“ (Landing Zone DevSecOps), CISAs Umgebung für sichere Code-Entwicklung.
Der Sicherheitsforscher Guillaume Valadon von GitGuardian entdeckte das Repo Mitte Mai und kontaktierte CISA nach Ausfallen des Kontos. Valadon dokumentierte, dass der CISA-Administrator die Standard-Sicherheitseinstellungen in GitHub explizit deaktiviert hatte, die automatisch die Veröffentlichung von SSH-Schlüsseln und Secrets in öffentlichen Repositories blockieren. Passwörter lagen unverschlüsselt vor, Backups waren direkt im Git-Historie verfügbar.
Philippe Caturegli, Gründer der Sicherheitsberatung Seralys, validierte die Funktionalität der exponierten Credentials. Die AWS-Schlüssel authentifizierten sich erfolgreich mit hohen Privilegien gegen die GovCloud-Konten. Darüber hinaus offenbarte das Repository Klartextanmeldedaten für CISAs „Artifactory“ — ein zentrales Repository aller verwendeten Code-Pakete für die Softwareentwicklung. Caturegli charakterisierte dies als kritischen Lateral-Movement-Vektor: Manipulation einzelner Software-Pakete könnte ein Basis-Berechtigungssystem sämtlicher nachgelagerter CISA-Systeme kompromittieren.
Das Git-Metadaten deutet darauf hin, dass der CISA-Mitarbeiter das Repository als privates Arbeits- und Synchronisierungswerkzeug über verschiedene Umgebungen hinweg nutzte, nicht als durchdachtes Projekt-Repository. Die gleichzeitige Verwendung einer CISA-assoziierten E-Mail-Adresse und einer privaten Adresse lässt auf eine wenig durchdachte Konfiguration schließen. Sicherheitsexperten bewerteten das Incident als eines der gravierendsten Datenlecks der US-Bundesregierung in den letzten Jahren.
Quelle: krebsonsecurity.com · Erschienen 18. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.0.