Tot enkele dagen geleden was een publieke GitHub-repository toegankelijk waarin credentials voor Amerikaanse overheids-AWS-accounts en interne systemen van de Cybersecurity and Infrastructure Security Agency (CISA) waren opgeslagen. Dit meldde cybersecurityjournalist Brian Krebs, die het nieuws eind mei bekendmaakte na een tip van onderzoeker Guillaume Valadon van GitGuardian.

Volgens Valadon, die de informatie bevestigde in een e-mailinterview, werd de repository beheerd door een CISA-contractor via diens persoonlijke GitHub-account. In de repository, die sinds november 2025 openbaar stond, werden onder meer Kubernetes-bestanden, GitHub Actions-workflows, interne documentatie, persoonlijke documenten, operationele scripts, platte tekst wachtwoorden, AWS-tokens en GitHub-toegangstokens aangetroffen. Valadon benadrukte dat het een ernstige schending van beveiligingscontroles betreft, omdat gevoelige gegevens in platte tekst werden opgeslagen en gecommit in Git, in plaats van veilig opgehaald te worden via een secret manager tijdens runtime.

GitGuardian, een Franse dienst die onder andere GitHub scant op blootgestelde geheimen, ontdekte de repository op 14 mei. Hoewel de repository nooit werd geforkt, wat de impact beperkte, reageerde de eigenaar niet direct op waarschuwingen. Daarom schakelde Valadon Krebs in en meldde het lek ook aan het Amerikaanse Computer Emergency Response Team Coordination Center (CERT/CC) en CISA. De repository werd diezelfde avond offline gehaald. Valadon prees CISA voor de snelle actie, aangezien veel responsible disclosures langer duren of niet worden opgelost.

Brian Krebs vermoedt dat de account werd beheerd door een cybersecuritybedrijf uit de regio Washington, DC, dat door CISA was ingehuurd. CISA bevestigde het incident en gaf aan dat er geen aanwijzingen zijn dat gevoelige data daadwerkelijk is gecompromitteerd. De organisatie werkt aan extra beveiligingsmaatregelen om herhaling te voorkomen.

Dit incident onderstreept de risico’s van het onzorgvuldig omgaan met GitHub-repositories. Naast menselijke fouten zijn er ook technische kwetsbaarheden, zoals een recent injectie-kwetsbaarheid in GitHub’s interne git-infrastructuur die hackers mogelijk toegang tot backendservers kon geven. Het is daarom essentieel dat gebruikers de uitgebreide beveiligingsmaatregelen en best practices van GitHub toepassen, waaronder het beperken van toegang tot repositories en het vermijden van het opslaan van gevoelige gegevens in platte tekst.