Ein CISA-Auftragnehmer veröffentlichte im November 2025 begonnene interne Anmeldedaten auf GitHub; mehr als eine Woche später waren kritische Schlüssel noch nicht invalidiert, während der Kongress eine Sicherheitsüberprüfung fordert.