15 мая 2026 года исследователи безопасности из компании GitGuardian сообщили об обнаружении публичного репозитория GitHub, принадлежавшего подрядчику Агентства по кибербезопасности и защите инфраструктуры США (CISA). В репозитории содержались учётные данные с административными привилегиями к нескольким средам AWS GovCloud, а также пароли в открытом виде к десяткам внутренних систем CISA.
Репозиторий под названием "Private-CISA" вёлся сотрудником компании Nightwing, подрядчика правительственных услуг. Согласно данным GitGuardian, в репозитории находились ключи доступа AWS GovCloud с правами администратора, имена пользователей и пароли в файлах CSV, внутренние токены систем, а также учётные данные инфраструктуры разработки CISA. Один из файлов под заголовком "importantAWStokens" содержал ключи, дающие доступ как минимум к трём средам GovCloud. Другой файл - "AWS-Workspace-Firefox-Passwords.csv" - включал логины и пароли для множества внутренних систем, включая среду разработки "Landing Zone DevSecOps", где происходит сборка и тестирование программного обеспечения.
Исследователи отметили, что ситуация усугублялась не случайностью, а системными нарушениями культуры безопасности. В истории коммитов репозитория было зафиксировано, что пользователь отключил встроенную защиту GitHub от публикации секретов. Пароли хранились в открытом виде без шифрования, многие из них строились по простому шаблону - название системы плюс текущий год. Репозиторий использовался как инструмент синхронизации файлов между устройствами. В него напрямую загружались резервные копии и внутренние логи.
Основатель консалтинговой компании Seralys Филипп Катюргли подтвердил, что часть обнародованных ключей AWS сохраняла актуальность на момент тестирования и позволяла получить доступ с высоким уровнем привилегий. Он также указал на риск для цепочки поставок: доступ к внутреннему артефакторию - хранилищу всех пакетов кода, используемых для сборки, - позволял бы злоумышленнику внедрить вредоносную полезную нагрузку в каждую новую сборку программного обеспечения CISA.
Сама по себе техника использования публичного репозитория в качестве рабочего пространства для синхронизации не нова, но в контексте государственного агентства с доступом к критической инфраструктуре она становится прямой угрозой национальной безопасности. Репозиторий "Private-CISA" был создан 13 ноября 2025 года, а учётная запись GitHub, с которой он вёлся, существовала с сентября 2018 года, что говорит о многолетней практике, которая могла многократно создавать риски раскрытия.
Под ударом могли оказаться не только сами системы CISA, но и вся цепочка разработки программного обеспечения, используемого агентством. Вредоносный код, внедрённый на этапе сборки, мог бы распространяться на все развёртываемые обновления, оставаясь незамеченным долгое время.
В ответ на запросы CISA подтвердила факт утечки и заявила о начале расследования. Представитель агентства отметил, что на данный момент нет доказательств компрометации чувствительных систем. Репозиторий был удалён вскоре после уведомления. Однако, по словам Катюргли, ключи AWS оставались активными ещё 48 часов после удаления.
Публикация указывает на системную проблему, выходящую за рамки ошибки одного сотрудника. Агентство в настоящее время работает с сокращённым штатом: по имеющимся данным, CISA потеряла почти треть персонала с начала второй администрации Трампа из-за досрочных выходов на пенсию и увольнений. Сокращение кадров напрямую влияет на способность контролировать соблюдение политик безопасности.
Регуляторный и операционный контекст происшествия особенно важен. Даже если прямая компрометация не подтверждена, сам факт длительного нахождения критических учётных данных в открытом доступе создаёт высокий риск для персистентных угроз. Атакующие могли скопировать данные за месяцы до обнаружения, и последствия могут проявиться позднее.
Исследование подтверждает долгосрочный тренд: наиболее опасные утечки происходят не из-за сложных хакерских атак, а из-за элементарных нарушений гигиены безопасности. Отключение автоматического сканирования секретов, хранение паролей в открытом виде, использование слабых шаблонов и синхронизация рабочих файлов через публичные репозитории - комбинация факторов, которая превращает инцидент локального масштаба в угрозу для национальной инфраструктуры. Текущая ситуация с CISA иллюстрирует, как кадровые сокращения и ослабление внутреннего контроля могут сделать такие ошибки не единичными, а системными.
