Auf den Punkt: Ein Auftragnehmer der CISA speicherte hochsensible Anmeldedaten für AWS GovCloud-Konten und interne Systeme in einem öffentlichen GitHub-Repository. Das Leck enthielt Cloud-Schlüssel, Plaintext-Passwörter und Verwaltungsdaten. Die Sicherheitsfirma GitGuardian stufte dies als schwersten Behörden-Datenleck ihrer Karriere ein.
Ein Auftragnehmer der US-Cybersecurity & Infrastructure Security Agency (CISA) betrieb bis zum Wochenende ein öffentliches GitHub-Repository, das Anmeldedaten für mehrere hochprivilegierte AWS-GovCloud-Konten und zahlreiche interne CISA-Systeme freilegte. Sicherheitsexperten bezeichnen dies als einen der gravierendsten Datenlecks der US-Regierung in der jüngeren Geschichte.
Der Sicherheitsforscher Guillaume Valadon von GitGuardian entdeckte das öffentliche Repository namens „Private-CISA“, das eine Vielzahl sensibler Daten enthielt: Cloud-Schlüssel, Token, Klartext-Passwörter, Protokolle und andere vertrauliche CISA-Ressourcen. Besonders bemerkenswert ist, dass der Repository-Betreiber absichtlich die GitHub-Sicherheitseinstellung zum Blockieren von SSH-Schlüsseln und Geheimnissen deaktiviert hatte.
Eine Datei mit dem Namen „importantAWStokens“ enthielt administrative Anmeldedaten für drei Amazon AWS GovCloud-Server. Eine weitere Datei namens „AWS-Workspace-Firefox-Passwords.csv“ listete Benutzernamen und Passwörter für Dutzende interner CISA-Systeme auf – darunter auch Systeme wie „LZ-DSO“ (Landing Zone DevSecOps), die sichere Code-Entwicklungsumgebung der Behörde.
Der Sicherheitsberater Philippe Caturegli bestätigte, dass die freigelegten AWS-Schlüssel vollständig funktionsfähig waren und Zugriff auf hochprivilegierte Konten mit breitem Zugriff auf interne Systeme ermöglichten. Caturegli zufolge wurde das Repository offenbar als persönliches Arbeitswerkzeug und Synchronisationsmechanismus verwendet – nicht als ordnungsgemäß verwaltetes Projekt. Die Verwendung sowohl von CISA-eigenen als auch persönlichen E-Mail-Adressen in den Git-Metadaten deutet darauf hin, dass der Repository über unterschiedliche Umgebungen hinweg synchronisiert wurde.