Beveiligingsonderzoeker Brian Krebs brengt het nieuws dat de Amerikaanse Cybersecurity & Infrastructure Agency (CISA) sinds november 2025 een grote hoeveelheid platte tekst wachtwoorden, SSH private keys, tokens en andere gevoelige CISA-assets onbedoeld openbaar had staan in een publieke GitHub-repository. Deze repository, die de naam "Private-CISA" droeg, was inmiddels offline gehaald.

De aanwezigheid van deze repository werd ontdekt door Guillaume Valadon van GitGuardian, die via publieke code-scans op GitHub werd gealarmeerd. Valadon meldde dit aan Krebs nadat hij geen reactie kreeg van de beheerder van de Private-CISA repository. Uit de commit-logs bleek dat de standaard beveiligingsmaatregelen van GitHub, bedoeld om het per ongeluk uploaden van geheimen te voorkomen, door de beheerder waren uitgeschakeld. Tests door Seralys-oprichter Philippe Caturegli bevestigden dat de credentials in de repository daadwerkelijk werkten en dat hij hiermee toegang kon krijgen tot meerdere Amazon Web Services GovCloud-accounts met hoge privileges.

De repository leek beheerd te worden door Nightwing, een CISA-contractant gevestigd in Virginia. Nightwing heeft tot op heden niet publiekelijk gereageerd en verwijst vragen door naar CISA. Dit incident is niet het eerste beveiligingsprobleem bij CISA dit jaar. In januari uploadde de toenmalige waarnemend directeur Madhu Gottumukkala, die niet slaagde voor een polygraphtest, gevoelige overheidsdocumenten naar ChatGPT nadat hij een uitzondering kreeg op het verbod voor CISA-personeel om ChatGPT te gebruiken. Gottumukkala werd in februari uit zijn functie ontheven.