Угрозы

«Private-CISA» оказался публичным: ключи GovCloud утекли на GitHub

Маша Даровская
By Маша Даровская , IT-редактор и автор
«Private-CISA» оказался публичным: ключи GovCloud утекли на GitHub
Обложка © Anonhaven

Американское агентство по кибербезопасности CISA опубликовало разбор собственного инцидента с утечкой облачных ключей, паролей и материалов внутренней разработки. Данные почти полгода находились в открытом репозитории GitHub, созданном подрядчиком агентства.

Репозиторий с ироничным названием Private-CISA появился 13 ноября 2025 года. Внутри находилось около 844 МБ данных: действующие ключи AWS GovCloud, пароли в открытом виде, сертификаты SAML, конфигурации Kubernetes и ArgoCD, сценарии развёртывания, инфраструктурный код Terraform, журналы сборки и резервные копии документов. Доступ закрыли лишь 15 мая 2026 года после обращения внешних исследователей.

CISA утверждает, что изучила журналы и не нашла признаков использования опубликованных учётных данных злоумышленниками. Клиентские данные и информация, связанная с основными задачами агентства, якобы не пострадали. При этом независимые специалисты смогли подтвердить работоспособность нескольких ключей и наличие административных прав в трёх аккаунтах AWS GovCloud.

Утечка произошла за пределами официальной организации CISA на GitHub. Подрядчик с административным доступом создал репозиторий в личной учётной записи и загрузил туда копии среды сборки и развёртывания.

Официальный разбор объясняет его действия желанием автономно создавать облачную инфраструктуру. В репозиторий попали инфраструктура как код — Infrastructure as Code, сценарии сборки и реальные административные данные. Такой подход позволял работать с копией материалов без штатных ограничений корпоративной среды.

Журнал изменений выглядел скорее как средство синхронизации между компьютерами, чем как аккуратно оформленный программный проект. Файлы добавлялись регулярно, включая резервные копии, служебные каталоги и документы, не предназначенные для публикации.

Подрядчик работал на компанию Nightwing. Само агентство не назвало его имя и не раскрыло, применялись ли дисциплинарные или уголовные меры помимо отключения доступа.

AWS GovCloud — отдельные регионы Amazon Web Services, предназначенные для государственных организаций США и компаний с повышенными требованиями к соблюдению американских норм. Они используют привычные облачные механизмы AWS, но имеют отдельные аккаунты, конечные точки и ограничения доступа.

В этом инциденте нет признаков уязвимости самой платформы Amazon. Ключи были скопированы из рабочей среды и опубликованы человеком, имевшим к ним законный доступ.

AWS не выпускала отдельного бюллетеня об уязвимости GovCloud, связанной с инцидентом. Ответственность за хранение ключей IAM, разграничение прав и их своевременную замену лежала на владельце облачных аккаунтов.

Во время инцидента выяснилось, что у CISA нет готового сценария реагирования именно на сочетание GitHub и облачной инфраструктуры. Команде пришлось создавать его уже после начала расследования.

Агентство добавило отдельный сценарий для облачных сервисов и платформ разработки, улучшило журналирование и начало перестраивать процесс управления секретами.

CISA не стала полностью запрещать разработчикам GitHub. Публичные библиотеки, документация и проекты с открытым кодом остаются важной частью современной разработки.

Для контроля загрузок агентство выбрало систему обнаружения и реагирования на конечных устройствах — EDR. Она должна позволять сотрудникам скачивать открытый код, но блокировать или отслеживать отправку внутренних файлов в публичные репозитории.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.