De Amerikaanse senator Maggie Hassan heeft de Cybersecurity and Infrastructure Security Agency (CISA) onder druk gezet om uitleg te geven over een recent incident waarbij gevoelige AWS-credentials en andere vertrouwelijke gegevens via een publieke GitHub-repository werden gelekt. Het lek werd ontdekt door beveiligingsonderzoeker Guillaume Valadon van het bedrijf GitGuardian en gemeld door cybersecurityjournalist Brian Krebs.

Valadon vond vorige week een GitHub-repository die in het bezit was van een overheidscontractant, Nightwing, waarin onder meer CISA-credentials stonden opgeslagen, variërend van cloud-sleutels en tokens tot platte tekst wachtwoorden en logbestanden. Nadat Krebs CISA op de hoogte bracht, werd de repository offline gehaald, maar de AWS-sleutels bleven nog twee dagen geldig voordat ze werden ingetrokken. Hassan stuurde een brief aan de waarnemend directeur van CISA, Nick Andersen, waarin ze om een geheime briefing over het incident vraagt. Ze benadrukt dat het lek ernstige vragen oproept over de interne beveiligingsprocedures van de instantie die juist belast is met het voorkomen van cyberinbreuken.

Hassan wijst in haar brief ook op de onrust binnen CISA sinds het aantreden van president Donald Trump, waarbij onder meer het personeelsbestand met een derde werd verminderd, budgetten werden gekort en belangrijke programma’s op het gebied van verkiezingsbeveiliging werden stopgezet. De waarnemend directeur Andersen volgde Madhu Gottumukkala op, die werd verwijderd na een reeks schandalen.

In een verklaring aan Recorded Future News laat CISA weten op de hoogte te zijn van de blootstelling en het incident te onderzoeken. Er is volgens de instantie geen aanwijzing dat gevoelige gegevens daadwerkelijk zijn misbruikt. CISA benadrukt dat het team hoge standaarden hanteert en werkt aan extra beveiligingsmaatregelen om herhaling te voorkomen. Hassan stelt echter dat deze verklaring onvoldoende duidelijkheid biedt over de beleidslijnen en procedures die het lek mogelijk maakten. Ze dringt aan op een briefing vóór 5 juni en voegt twaalf vragen toe over het incident.