Американское агентство по кибербезопасности CISA опубликовало разбор собственного инцидента с утечкой облачных ключей, паролей и материалов внутренней разработки. Данные почти полгода находились в открытом репозитории GitHub, созданном подрядчиком агентства.
Репозиторий с ироничным названием Private-CISA появился 13 ноября 2025 года. Внутри находилось около 844 МБ данных: действующие ключи AWS GovCloud, пароли в открытом виде, сертификаты SAML, конфигурации Kubernetes и ArgoCD, сценарии развёртывания, инфраструктурный код Terraform, журналы сборки и резервные копии документов. Доступ закрыли лишь 15 мая 2026 года после обращения внешних исследователей.
CISA утверждает, что изучила журналы и не нашла признаков использования опубликованных учётных данных злоумышленниками. Клиентские данные и информация, связанная с основными задачами агентства, якобы не пострадали. При этом независимые специалисты смогли подтвердить работоспособность нескольких ключей и наличие административных прав в трёх аккаунтах AWS GovCloud.
Утечка произошла за пределами официальной организации CISA на GitHub. Подрядчик с административным доступом создал репозиторий в личной учётной записи и загрузил туда копии среды сборки и развёртывания.
Официальный разбор объясняет его действия желанием автономно создавать облачную инфраструктуру. В репозиторий попали инфраструктура как код — Infrastructure as Code, сценарии сборки и реальные административные данные. Такой подход позволял работать с копией материалов без штатных ограничений корпоративной среды.
Журнал изменений выглядел скорее как средство синхронизации между компьютерами, чем как аккуратно оформленный программный проект. Файлы добавлялись регулярно, включая резервные копии, служебные каталоги и документы, не предназначенные для публикации.
Подрядчик работал на компанию Nightwing. Само агентство не назвало его имя и не раскрыло, применялись ли дисциплинарные или уголовные меры помимо отключения доступа.
AWS GovCloud — отдельные регионы Amazon Web Services, предназначенные для государственных организаций США и компаний с повышенными требованиями к соблюдению американских норм. Они используют привычные облачные механизмы AWS, но имеют отдельные аккаунты, конечные точки и ограничения доступа.
В этом инциденте нет признаков уязвимости самой платформы Amazon. Ключи были скопированы из рабочей среды и опубликованы человеком, имевшим к ним законный доступ.
AWS не выпускала отдельного бюллетеня об уязвимости GovCloud, связанной с инцидентом. Ответственность за хранение ключей IAM, разграничение прав и их своевременную замену лежала на владельце облачных аккаунтов.
Во время инцидента выяснилось, что у CISA нет готового сценария реагирования именно на сочетание GitHub и облачной инфраструктуры. Команде пришлось создавать его уже после начала расследования.
Агентство добавило отдельный сценарий для облачных сервисов и платформ разработки, улучшило журналирование и начало перестраивать процесс управления секретами.
CISA не стала полностью запрещать разработчикам GitHub. Публичные библиотеки, документация и проекты с открытым кодом остаются важной частью современной разработки.
Для контроля загрузок агентство выбрало систему обнаружения и реагирования на конечных устройствах — EDR. Она должна позволять сотрудникам скачивать открытый код, но блокировать или отслеживать отправку внутренних файлов в публичные репозитории.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.