CISA-Administrator legt AWS-GovCloud-Zugangsdaten in öffentlichem GitHub-Repository offen

Nach Angaben „extrem sensible" Informationen, und erste Versuche, den Eigentümer zu warnen, blieben zunächst unbeantwortet. Die Erkenntnisse wurden später KrebsOnSecurity weitergegeben, was eine weitere Untersuchung auslöste.

Credentials für GovCloud wurden offengelegt Die Analyse ergab, dass das Repository administrative Zugangsdaten für mindestens drei AWS GovCloud-Umgebungen enthielt, die speziell für die Verarbeitung sensibler US-Regierungsarbeiten konzipiert waren.

Screenshot des gelöschten privaten GitHub-Repositories „Private CISA" (Quelle: krebsonsecurity) Zusätzlich wurden in einer Datei namens „AWS-Workspace-Firefox-Passwords.csv" Dutzende örtern Klartext offengelegt, die mit internen CISA-Systemen verknüpft sind, darunter eine DevSecOps-Umgebung, die als „LZ-DSO" bezeichnet wird.

Technischer Hintergrund

Philippe Caturegli, Gründer der Sicherheitsberatung Seralys, bestätigte, dass einige der offengelegten AWS-Zugangsdaten zum Zeitpunkt der Entdeckung noch gültig waren und hohen Zugriff ermöglichten.

Er wies darauf hin, dass das Repository ebenfalls Zugangsdaten für den internen „Artifactory" des CISA enthielt, ein zentralisiertes System zur Speicherung und Verteilung könnte Angreifern ermöglichen, bösartigen Code Software-Pipelines einzufügen.

Beispielsweise könnte ein Angreifer, der die Artifactory kompromittiert, Hintertüren in legitime Software-Updates einbetten, was bei der Bereitstellung mehrere Systeme beeinträchtigen könnte. Forscher wiesen zudem auf unzureichende Sicherheitspraktiken innerhalb des Repositories hin.

Technischer Hintergrund

Sensible Daten wurden Klartext gespeichert, und die eingebaute Geheimniskennungsprüfung.

Commit-Logs deuten darauf hin, dass das Repository eher als persönlicher Arbeitsbereich oder als Dateisynchronisierungstool als als sicheres Entwicklungsprojekt genutzt wurde. „Die Muster deuten darauf hin, dass dies wahrscheinlich zur Synchronisation äten genutzt wurde, möglicherweise zwischen einem Arbeits- und einem Heim-Umfeld", erklärte Caturegli. „Aber das mindert die Schwere nicht; es macht sie vielmehr noch schlimmer." Private CISA-Exposition (Quelle: krebsonsecurity) KrebsOnSecurity berichtete, dass das exponierte Repository mit einem Contractor, einem US-basierten Dienstleistungsunternehmen für die Regierung, verknüpft war.

Das Konto war seit 2018 aktiv, während das Repository „Private-CISA" November 2025 erstellt wurde. Obwohl das Repository kurz nach der Offenlegung vom Netz genommen wurde, blieben die freigegebenen AWS-Zugangsdaten reportedly fast lang gültig, was das potenzielle Risikofenster verlängerte.

CISA erkannte den Vorfall

CISA erkannte den Vorfall an und erklärte, dass es ihn aktiv untersucht. Die Agentur stellte fest, dass derzeit keine Hinweise auf eine aktive Ausnutzung vorliegen, betonte jedoch, dass zusätzliche Schutzmaßnahmen ergriffen werden.

Der Vorfall fällt in eine schwierige Phase für CISA, die reportedly einen erheblichen Teil ihrer Belegschaft aufgrund ürzungen und Umstrukturierungen verloren hat. Sicherheitsexperten warnen, dass solche operativen Belastungen die Wahrscheinlichkeit erhöhen können.

Insgesamt verdeutlicht der Vorfall eine entscheidende Lektion Bereich der Cybersicherheit: selbst hochsensible Umgebungen können durch grundlegende Fehler wie mangelhafte Zugangsdatenverwaltung und unsichere Entwicklungspraktiken kompromittiert werden. Sie uns auf