Wetgevers in het Amerikaanse Congres eisen opheldering van de Cybersecurity & Infrastructure Security Agency (CISA) nadat bekend werd dat een CISA-aannemer opzettelijk AWS GovCloud-sleutels en een grote hoeveelheid andere interne gegevens openbaar heeft gepubliceerd op een publieke GitHub-account. De onthulling kwam aan het licht via KrebsOnSecurity, dat meldde dat de aannemer met administratieve toegang tot het codeontwikkelplatform van CISA een publieke GitHub-profiel met de naam “Private-CISA” had aangemaakt, waarin in platte tekst credentials voor tientallen interne CISA-systemen stonden.

Experts die de gelekte gegevens onderzochten, stelden vast dat de aannemer de ingebouwde GitHub-bescherming tegen het publiceren van gevoelige gegevens had uitgeschakeld. Hoewel CISA het lek erkende, gaf de organisatie geen antwoord op vragen over hoe lang de data al openbaar waren. Volgens deskundigen werd de inmiddels verwijderde Private-CISA-repository oorspronkelijk in november 2025 aangemaakt en vertoonde deze kenmerken van een persoonlijke werkruimte of synchronisatiemechanisme, in plaats van een zorgvuldig beheerde projectrepository.

In een schriftelijke verklaring stelde CISA dat er geen aanwijzingen zijn dat gevoelige data daadwerkelijk zijn gecompromitteerd. Tegelijkertijd stuurde senator Maggie Hassan (D-NH) op 19 mei een brief aan de waarnemend directeur van CISA, Nick Andersen, waarin zij ernstige vragen stelde over hoe een dergelijke beveiligingsfout kon plaatsvinden bij de instantie die juist cyberaanvallen moet helpen voorkomen. Hassan benadrukte dat het incident zorgwekkend is gezien de huidige cybersecuritydreigingen voor de Amerikaanse kritieke infrastructuur, en verwees naar de interne problemen bij CISA, waar meer dan een derde van het personeel en vrijwel alle senior leiders vertrokken na gedwongen vervroegde pensioneringen en ontslagen tijdens de Trump-regering zoals eerder gerapporteerd.

Ook vertegenwoordiger Bennie Thompson (D-MS), lid van de House Homeland Security Committee, uitte zijn zorgen over de incidenten en stelde dat dit wijst op een verslechterde beveiligingscultuur of een onvermogen om contractondersteuning adequaat te beheren. Samen met Delia Ramirez (D-Ill), lid van de subcommissie Cybersecurity and Infrastructure Protection, stuurde hij een brief naar de waarnemend CISA-directeur waarin hij waarschuwde dat tegenstanders zoals China, Rusland en Iran toegang tot federale netwerken proberen te verkrijgen. De gelekte bestanden in de Private-CISA-repository zouden daarbij een blauwdruk bieden.

Meer dan een week na de melding van het datalek door beveiligingsbedrijf GitGuardian werkt CISA nog steeds aan het ongeldig maken en vervangen van de gelekte sleutels en credentials. Dylan Ayrey, maker van de open-source tool TruffleHog die private keys en andere geheimen in code detecteert, meldde op 20 mei dat CISA nog steeds een RSA private key niet had ingetrokken. Deze sleutel gaf toegang tot een GitHub-app die eigendom is van het CISA-enterprise account en volledige toegang heeft tot alle code repositories binnen de CISA-IT GitHub-organisatie. Met deze sleutel kan een aanvaller onder andere broncode lezen, kwaadaardige runners registreren om CI/CD-pijplijnen te kapen, repository secrets benaderen en beheerdersinstellingen aanpassen.