Amerikaanse cyberwaakhond lekt GovCloud-sleutels op GitHub

In dit artikel:

Onder de naam Private-CISA zijn gevoelige toegangsgegevens voor interne systemen en cloudomgevingen van de Amerikaanse cyberwaakhond CISA publiekelijk op GitHub verschenen. Dat ontdekte beveiligingsjournalist Brian Krebs; onderzoekers van GitGuardian en Seralys vonden in de openbare repository onder meer AWS GovCloud-sleutels, plaintext gebruikersnamen en wachtwoorden en credentials voor interne softwarerepositories en buildomgevingen.

AWS GovCloud is een afgeschermde AWS-omgeving voor gevoelige overheidsdata; volgens Seralys waren meerdere gelekte GovCloud-accounts met hoge rechten daadwerkelijk toegankelijk. Toegang tot build- en code-repositories vergroot het risico dat aanvallers malware of backdoors in softwarebuilds plaatsen, waarna compromitteringen zich verder binnen overheidsomgevingen kunnen verspreiden.

De beheerder van de repo had beveiligingsfuncties van GitHub uitgeschakeld die normaal het publiekelijk publiceren van geheimen tegengaan, en sommige wachtwoorden waren eenvoudig te raden (bijvoorbeeld platformnaam plus het jaartal). Ars Technica meldt dat de repository mogelijk al sinds november 2025 openbaar toegankelijk was. Onderzoekers vermoeden dat de repo door een contractor als synchronisatiepunt tussen apparaten werd gebruikt.

CISA zegt het lek te onderzoeken en meldt geen aanwijzingen dat de gelekte gegevens zijn misbruikt, maar neemt aanvullende maatregelen. Opmerkelijk is dat sommige AWS-sleutels nog ongeveer 48 uur geldig bleven nadat CISA op de hoogte was gebracht en de GitHub-repository offline ging. De repo zou beheerd zijn door een medewerker van de contractor Nightwing; die verwees vragen door naar CISA.

Dit incident benadrukt het belang van geheimenbeheer en automatische secret-scans bij ontwikkelingsteams van overheidsdiensten: onversleutelde credentials en zwakke wachtwoorden kunnen snelle, verstrekkende toegang geven tot kritieke cloudomgevingen.