CISA tenta conter vazamento de dados

 (krebsonsecurity.com)
1 pontos por GN⁺ 5 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Um prestador da CISA publicou dezenas de credenciais internas em texto puro no perfil público do GitHub “Private-CISA” e também deixou rastros de que desativou recursos de proteção do GitHub
  • A CISA reconheceu o vazamento, mas não respondeu por quanto tempo os dados ficaram expostos; o repositório foi criado em novembro de 2025 e mostrou um padrão de uso semelhante a um scratchpad pessoal
  • Parlamentares como Maggie Hassan e Bennie Thompson questionaram as políticas internas de segurança, a gestão de prestadores e a cultura de segurança da CISA em um momento de aumento das ameaças à infraestrutura crítica
  • Mesmo uma semana após o aviso da GitGuardian, a troca de algumas chaves ainda estava em andamento, e Dylan Ayrey, da TruffleHog, afirmou que uma chave privada RSA ainda estava ativa em 20 de maio
  • O feed público de eventos do GitHub pode ser monitorado tanto por defensores quanto por atacantes, deixando o risco de que segredos sensíveis adicionados no fim de abril de 2026 já tenham sido explorados

Vazamento na CISA e questionamentos do Congresso

  • Um prestador da CISA criou um perfil público no GitHub chamado “Private-CISA” enquanto tinha privilégios administrativos na plataforma de desenvolvimento de código da agência, incluindo ali dezenas de credenciais internas da CISA em texto puro
  • Os logs de commit mostraram rastros de desativação dos recursos nativos de proteção do GitHub que impedem a publicação de credenciais sensíveis em repositórios públicos
  • A CISA reconheceu o vazamento, mas não respondeu por quanto tempo os dados ficaram expostos
  • Especialistas que analisaram o arquivo do Private-CISA, já removido, concluíram que o repositório foi criado pela primeira vez em novembro de 2025 e apresentava um padrão de uso mais próximo de um scratchpad de trabalho pessoal ou ferramenta de sincronização do que de um repositório de projeto organizado
  • Em comunicado por escrito, a CISA afirmou que “não há indícios de que dados sensíveis tenham sido comprometidos como resultado deste incidente”

Preocupações dos parlamentares com a cultura de segurança

  • Sen. Maggie Hassan afirmou em carta de 19 de maio ao diretor interino da CISA, Nick Andersen que esse tipo de falha de segurança em uma agência que ajuda a prevenir intrusões cibernéticas levanta sérias dúvidas sobre como isso pôde acontecer
  • Hassan apontou que as preocupações sobre as políticas e procedimentos internos da CISA cresceram em um momento de continuidade de ameaças cibernéticas graves contra a infraestrutura crítica dos EUA
  • O incidente ocorreu em meio a grande turbulência interna na CISA, que perdeu mais de um terço da força de trabalho e quase toda a liderança sênior depois que o governo Trump forçou aposentadorias antecipadas, buyouts e demissões em vários departamentos
  • Rep. Bennie Thompson afirmou em carta de 19 de maio que o incidente pode refletir uma cultura de segurança enfraquecida ou falta de capacidade da CISA para gerenciar suporte contratual
  • Thompson e a coassinante Rep. Delia Ramirez avaliaram que arquivos do repositório Private-CISA forneceram informações, acesso e um roteiro para potências hostis como China, Rússia e Irã, que buscam obter acesso e persistência em redes federais

Revogação de credenciais ainda não concluída

  • Mais de uma semana depois de a empresa de segurança GitGuardian alertar a CISA pela primeira vez sobre o vazamento, a agência ainda seguia no processo de revogar e substituir várias das chaves e segredos expostos
  • Dylan Ayrey, criador do TruffleHog, afirmou que em 20 de maio uma chave privada RSA exposta no repositório Private-CISA ainda não havia sido revogada
  • Essa chave privada RSA concedia acesso a um GitHub App pertencente a uma conta enterprise da CISA e instalado na organização CISA-IT do GitHub, com acesso total a todos os repositórios de código
  • Segundo Ayrey, um atacante poderia usar essa chave para ler todo o código-fonte e os repositórios privados da organização CISA-IT, registrar runners maliciosos self-hosted, comprometer o pipeline de CI/CD e acessar os segredos dos repositórios
  • O atacante também poderia alterar configurações administrativas dos repositórios, incluindo regras de proteção de branch, webhooks e chaves de deploy
  • Depois que o KrebsOnSecurity informou a CISA em 20 de maio sobre a descoberta de Ayrey, a agência aparentemente revogou essa chave privada RSA
  • Ayrey afirmou que a CISA ainda não havia substituído outras credenciais vazadas ligadas a tecnologias de segurança críticas implantadas em todo o portfólio tecnológico da agência
  • A CISA respondeu que “está atuando ativamente e coordenando com as partes e fornecedores relevantes para garantir que as credenciais vazadas identificadas sejam substituídas e revogadas, e continuará tomando as medidas apropriadas para proteger a segurança dos sistemas”

O duplo lado do feed público de eventos do GitHub

  • A Truffle Security monitora chaves expostas no GitHub e em várias plataformas de código e tenta alertar as contas afetadas sobre a exposição de dados sensíveis
  • O GitHub fornece um feed em tempo real com todos os commits e históricos de alteração de repositórios públicos, e essa estrutura torna possível detectar exposições
  • Ayrey afirmou que cibercriminosos também monitoram esse feed público e visam rapidamente chaves de API ou chaves SSH publicadas por engano em commits de código
  • O repositório GitHub Private-CISA expôs dezenas de credenciais em texto puro para recursos importantes da CISA GovCloud
  • Ayrey afirmou que é muito provável que grupos de cibercrime ou potências hostis estrangeiras também tenham visto a publicação dos segredos da CISA, e que a exposição mais grave parece ter ocorrido no fim de abril de 2026
  • O risco central continua sendo que “qualquer pessoa monitorando os eventos do GitHub pode ter essas informações”

Limites dos controles técnicos

  • James Wilson, do podcast de segurança Risky Business, afirmou que organizações que gerenciam projetos de código no GitHub podem definir políticas superiores para impedir que funcionários desativem recursos de prevenção à publicação de chaves secretas e credenciais
  • O coapresentador Adam Boileau avaliou que não está claro que tecnologia poderia impedir um funcionário de abrir uma conta pessoal no GitHub para armazenar informações sensíveis e proprietárias
  • Boileau classificou o incidente como um problema humano difícil de resolver apenas com controles técnicos
  • Se o prestador usou o GitHub para sincronizar conteúdo entre dispositivos de trabalho e pessoais, o caso expõe a limitação de impedir ações fora do que a CISA consegue gerenciar ou visualizar
  • Na atualização do artigo, foi acrescentado o comunicado da CISA e corrigido um erro de data após a Truffle Security informar que alguns dos segredos mais sensíveis do repositório foram adicionados no fim de abril de 2026, e não em 2025

Leituras relacionadas

1 comentários

 
GN⁺ 5 시간 전
Comentários do Hacker News

  • Isso é um erro absurdo. Dizer que “isso corresponde mais a um padrão de uso do repositório como bloco de notas pessoal ou meio de sincronização do que como repositório de projeto gerenciado”... o básico do básico do Git não é justamente não colocar credenciais lá? Nem entendo a que padrão isso supostamente corresponderia

    • Essa expressão não está defendendo isso como um fluxo de trabalho estabelecido ou uma boa prática
      Dizer que “mostra um padrão consistente com ~” só descreve como o repositório parece ter sido usado. Ou seja, não era um pacote de código-fonte governamental para projeto interno, nem um sinal de que a intenção fosse vazar dados em massa
    • Já está claramente escrito com que padrão esse uso se parece: foi usado como uma espécie de bloco de notas pessoal de trabalho
      Você está atribuindo à frase mais significado do que ela realmente tem. É só uma descrição do que foi observado
    • Não foi erro nenhum. O governo dos EUA foi completamente comprometido por serviços de inteligência estrangeiros, e essa “violação” foi totalmente intencional
    • Se eu tivesse ganhado 1 dólar por cada segredo commitado em repositório público, provavelmente já estaria aposentado. Claro, isso não serve de desculpa. Também é bem engraçado fingir que o governo dos EUA não é feito de pessoas como nós

  • Com controles técnicos mais competentes, isso nem deveria ser possível: um contratante aleatório conseguir copiar uma senha de meados de 2025 para o computador de casa, e essa senha continuar funcionando não só por 30 dias, mas ainda 5 dias depois

    • Sim. Na verdade, eu achava que o governo já usava smartcards e HSMs de forma bem séria para tudo isso há muito tempo. Não entendo por que dariam credenciais extraíveis a qualquer pessoa, em vez de simplesmente distribuir hardware do qual as credenciais não possam ser extraídas
      Em algumas organizações o custo extra seria um problema, mas aqui esse claramente não é o caso. Ou talvez isso seja mais um sintoma da deterioração causada pelo fato de que esse tipo de projeto e padronização era justamente o tipo de coisa que a CISA fazia, até os republicanos desmontarem isso no ano passado. De qualquer forma, a tecnologia claramente pode reduzir esse tipo de incidente; isso não é um desastre natural inevitável
    • Eu não lido com segredos de Estado, mas tenho acesso a dados sensíveis ou valiosos para clientes. A própria ideia de baixar algo diretamente para o meu dispositivo é algo que eu não consigo entender
      Até baixar um arquivo de log com algo como "aws s3 cp s3://client/file - | less" já me parece ruim. Eu preferiria muito mais subir uma instância barata e olhar os dados dentro da VPC do cliente

  • Se você reduz uma organização especializada, parece óbvio que muitas capacidades vão cair, inclusive a de segurança operacional
    Em 2020, Chris Krebs rebateu as alegações de eleição roubada. Em 2025, Trump demitiu Krebs e revogou sua autorização de segurança, deixando a CISA sem diretor. https://en.wikipedia.org/wiki/Chris_Krebs
    Em março de 2025, começaram os cortes. https://techcrunch.com/2025/03/11/doge-axes-cisa-red-team-st...
    Em 2026, ela ainda estava sem diretor e operando quase no limite. https://techcrunch.com/2026/02/25/us-cybersecurity-agency-ci...
    Esse movimento parece consistente com enfraquecer deliberadamente, por dentro, as defesas de um país e espalhar caos

    • Se uma potência estrangeira hostil fosse a responsável, será que conseguiríamos perceber a diferença?
    • Sinceramente, isso parece mais um caso de incompetência agressiva e contratações/demissões baseadas em lealdade. Reconheço que a questão de como esses idiotas conseguiram poder para contratar e demitir é mais complexa
    • Krebs foi demitido em 2020, não em 2025

  • A CISA perdeu mais de um terço da força de trabalho e a maior parte da liderança sênior depois que o governo Trump pressionou por aposentadoria antecipada, buyouts e pedidos de demissão em vários departamentos

  • Parece que senadores perguntaram por que a CISA está reduzindo seus esforços de segurança eleitoral[1]. O momento da renúncia da Tulsi hoje também parece coincidir de forma curiosa com o momento em que isso veio a público
    [1]https://www.padilla.senate.gov/newsroom/press-releases/padil...

    • Não entendo por que os senadores dos EUA estão fazendo tanto alarde. Trump deixou isso muito claro ao apresentar o orçamento: ele queria cortar drasticamente o orçamento da CISA e também mandou diretamente a agência fechar o escritório de segurança eleitoral
      Isso é o meme do “quem matou Hannibal?”. Se Padilla e Warner não sabiam disso, então eles também são incompetentes. Ainda mais porque eles próprios já tinham tratado disso em comunicado no ano passado:
      https://www.padilla.senate.gov/newsroom/news-coverage/cnn-tr...
      Padilla, por que você esqueceu que isso aconteceu?

  • Isso me lembra a NCTificação do transporte público. Você corta o orçamento, o nível de serviço cai, e depois vem a reação negativa da opinião pública
    No fim, esse caminho pode levar ao aumento da privatização via contratadas de segurança

    • Quem vazou as credenciais foi justamente uma empresa contratada de segurança. Então, em certo sentido, já estamos no estágio final dessa ampliação da privatização

  • Lembro do vazamento de 1 milhão de formulários SF-86. Aquele formulário em que colocamos uma quantidade absurda de informações pessoais para avaliarem se somos confiáveis o bastante para receber dados sensíveis

    • Aquilo não foi vazamento, foi uma invasão. Foi obra do aparato de segurança do Estado chinês
    • Isso não foi a CISA, e sim o OPM, não?

  • Os parlamentares querem respostas, mas eles mesmos não oferecem respostas. Quem vigia os vigilantes, afinal? A corrupção dos parlamentares acontece em grande escala, mas se uma chave for exposta a cabeça de alguém vai rolar? Mesmo gente muito inteligente expõe chave por engano com frequência
    Nunca executou rm -rf *? Nunca derrubou um banco de dados de produção? Nunca desligou o servidor errado? Todo mundo já fez isso

    • A vigilância deles não é para cuidar, é para controlar. É sorrateiramente hostil, e o “cuidado” é só o pretexto, não a realidade

  • Se até essas pessoas, que deveriam ser especialistas, não conseguem se manter devidamente seguras na internet, então não sei como qualquer outra pessoa poderia conseguir

    • Isso foi depois do Doge. O Doge fez bem o seu trabalho. Tristemente, muita gente repetiu as mentiras do Doge sem questionar

  • O ponto realmente importante não é só a chave do AWS GovCloud que vazou, mas o fato de o contratante ter desligado manualmente a proteção de varredura de segredos do GitHub