🛡 DATA BREACHES 🛡

Administradora de CISA filtró claves de AWS GovCloud en GitHub

🛡CyberObservatorio
Administradora de CISA filtró claves de AWS GovCloud en GitHub
Idioma

Administradora de CISA filtró claves de AWS GovCloud en GitHub

Fuente: Krebs on Security

**Filtración Masiva de Credenciales en CISA: Un Descuido que Expone la Vulnerabilidad del Gobierno de EE. UU.**

El reciente escándalo de seguridad que ha sacudido a la Agencia de Ciberseguridad e Infraestructura (CISA) es una de las filtraciones de datos gubernamentales más graves en la historia reciente. Un contratista de esta agencia mantuvo un repositorio público en GitHub, que expuso credenciales de cuentas de AWS GovCloud con altos privilegios, así como una considerable cantidad de datos internos de CISA. Esta situación no solo tiene implicaciones para la seguridad de la información gubernamental, sino que también afecta a la confianza pública en la capacidad del gobierno para proteger datos sensibles.

El descubrimiento se produjo el pasado fin de semana, cuando Guillaume Valadon, investigador de la firma de seguridad GitGuardian, alertó sobre la existencia de información altamente sensible en un repositorio titulado "Private-CISA". Este repositorio contenía credenciales internas de CISA y del Departamento de Seguridad Nacional (DHS), incluyendo claves de acceso a la nube, tokens, contraseñas en texto plano y registros. Según Valadon, el archivo representa un ejemplo clásico de mala higiene de seguridad en el manejo de datos, dado que los registros de cambios del repositorio mostraban que el administrador de CISA había desactivado la configuración predeterminada de GitHub que previene la publicación de claves SSH y otros secretos en repositorios públicos.

Imagen del articulo

La gravedad del asunto radica en que las credenciales expuestas permiten el acceso a sistemas críticos de CISA. En particular, un archivo titulado “importantAWStokens” contenía credenciales administrativas para tres servidores de Amazon AWS GovCloud, mientras que otro archivo, “AWS-Workspace-Firefox-Passwords.csv”, revelaba nombres de usuario y contraseñas en texto plano para docenas de sistemas internos de CISA, incluyendo uno denominado “LZ-DSO”, que parece referirse al entorno de desarrollo seguro de la agencia.

Philippe Caturegli, fundador de la consultoría de seguridad Seralys, explicó que, tras verificar la validez de las claves de AWS, pudo confirmar que permitían acceder a cuentas de alto privilegio, así como a un "artifactory" interno de CISA, lo que representa un objetivo atractivo para atacantes maliciosos en busca de mantener un acceso persistente a los sistemas de la agencia. Este tipo de información puede ser utilizada para mover lateralmente en la red, lo que podría llevar a la instalación de puertas traseras en los paquetes de software.

En respuesta a las preocupaciones planteadas, un portavoz de CISA indicó que la agencia está al tanto de la exposición reportada y se encuentra investigando la situación. Sin embargo, CISA también afirmó que, hasta el momento, no hay indicaciones de que se haya comprometido información sensible como resultado de este incidente. A pesar de estas afirmaciones, la revelación de que el repositorio fue mantenido por un empleado de Nightwing, un contratista del gobierno, suscita serias dudas sobre la seguridad interna y el manejo de datos sensibles.

Un análisis más profundo revela que el repositorio "Private CISA" fue creado el 13 de noviembre de 2025 y su cuenta de GitHub data de septiembre de 2018. La filtración señala que el contratista utilizaba contraseñas fáciles de adivinar para varios recursos internos, lo que plantea un riesgo de seguridad significativo, incluso si esas credenciales no se hubieran expuesto externamente. Las prácticas inseguras, como el uso de contraseñas que consisten en el nombre de cada plataforma seguido del año actual, son preocupantes. Caturegli señala que los actores de amenazas a menudo utilizan credenciales clave expuestas en la red interna para expandir su acceso tras establecer una entrada inicial en un sistema objetivo.

La cuenta de GitHub que albergaba el repositorio Private CISA fue desactivada poco después de que KrebsOnSecurity y Seralys notificaran a CISA sobre la exposición. Sin embargo, las claves de AWS expuestas continuaron siendo válidas durante 48 horas más, lo que plantea interrogantes sobre la gestión de la seguridad y la respuesta ante incidentes de la agencia.

La situación se complica aún más por el hecho de que CISA está operando con solo una fracción de su presupuesto y niveles de personal normales. La agencia ha perdido casi un tercio de su fuerza laboral desde el inicio de la segunda administración de Trump, lo que ha llevado a una serie de jubilaciones anticipadas, indemnizaciones y renuncias en sus diversas divisiones.

En este contexto, queda claro que la filtración de datos en CISA no solo es un síntoma de fallos individuales, sino que refleja una falta más amplia de controles de seguridad y buenas prácticas en la gestión de información sensible. La importancia de implementar salvaguardias adicionales es evidente, no solo para proteger la infraestructura crítica del país, sino también para restaurar la confianza en las instituciones encargadas de salvaguardar la ciberseguridad nacional.

CISA Admin Leaked AWS GovCloud Keys on Github

Source: Krebs on Security

Until this past weekend, a contractor for theCybersecurity & Infrastructure Security Agency(CISA) maintained a publicGitHubrepository that exposed credentials to several highly privilegedAWS GovCloudaccounts and a large number of internal CISA systems. Security experts said the public archive included files detailing how CISA builds, tests and deploys software internally, and that it represents one of the most egregious government data leaks in recent history. On May 15, KrebsOnSecurity heard fromGuillaume Valadon, a researcher with the security firmGitGuardian. Valadon’s company constantly scans public code repositories at GitHub and elsewhere for exposed secrets, automatically alerting the offending accounts of any apparent sensitive data exposures. Valadon said he reached out because the owner in this case wasn’t responding and the information exposed was highly sensitive. A redacted screenshot of the now-defunct “Private CISA” repository maintained by a CISA contractor. The GitHub repository that Valadon flagged was named “Private-CISA,” and it harbored a vast number of internal CISA/DHS credentials and files, including cloud keys, tokens, plaintext passwords, logs and other sensitive CISA assets. Valadon said the exposed CISA credentials represent a textbook example of poor security hygiene, noting that the commit logs in the offending GitHub account show that the CISA administrator disabled the default setting in GitHub that blocks users from publishing SSH keys or other secrets in public code repositories. “Passwords stored in plain text in a csv, backups in git, explicit commands to disable GitHub secrets detection feature,” Valadon wrote in an email. “I honestly believed that it was all fake before analyzing the content deeper. This is indeed the worst leak that I’ve witnessed in my career. It is obviously an individual’s mistake, but I believe that it might reveal internal practices.” One of the exposed files, titled “importantAWStokens,” included the administrative credentials to three Amazon AWS GovCloud servers. Another file exposed in their public GitHub repository — “AWS-Workspace-Firefox-Passwords.csv” — listed plaintext usernames and passwords for dozens of internal CISA systems. According to Caturegli, those system included one called “LZ-DSO,” which appears short for “Landing Zone DevSecOps,” the agency’s secure code development environment. Philippe Caturegli, founder of the security consultancySeralys, said he tested the AWS keys only to see whether they were still valid and to determine which internal systems the exposed accounts could access. Caturegli said the GitHub account that exposed the CISA secrets exhibits a pattern consistent with an individual operator using the repository as a working scratchpad or synchronization mechanism rather than a curated project repository. “The use of both a CISA-associated email address and a personal email address suggests the repository may have been used across differently configured environments,” Caturegli observed. “The available Git metadata alone does not prove which endpoint or device was used.” The Private CISA GitHub repo exposed dozens of plaintext credentials for important CISA GovCloud resources. Caturegli said he validated that the exposed credentials could authenticate to three AWS GovCloud accounts at a high privilege level. He said the archive also includes plain text credentials to CISA’s internal “artifactory” — essentially a repository of all the code packages they are using to build software — and that this would represent a juicy target for malicious attackers looking for ways to maintain a persistent foothold in CISA systems. “That would be a prime place to move laterally,” he said. “Backdoor in some software packages, and every time they build something new they deploy your backdoor left and right.” In response to questions, a spokesperson for CISA said the agency is aware of the reported exposure and is continuing to investigate the situation. “Currently, there is no indication that any sensitive data was compromised as a result of this incident,” the CISA spokesperson wrote. “While we hold our team members to the highest standards of integrity and operational awareness, we are working to ensure additional safeguards are implemented to prevent future occurrences.” A review of the GitHub account and its exposed passwords show the “Private CISA” repository was maintained by an employee ofNightwing, a government contractor based in Dulles, Va. Nightwing declined to comment, directing inquiries to CISA. CISA has not responded to questions about the potential duration of the data exposure, but Caturegli said the Private CISA repository was created on November 13, 2025. The contractor’s GitHub account was created back in September 2018. The GitHub account that included the Private CISA repo was taken offline shortly after both KrebsOnSecurity and Seralys notified CISA about the exposure. But Caturegli said the exposed AWS keys inexplicably continued to remain valid for another 48 hours. CISA is currently operating with only a fraction of its normal budget and staffing levels. The agency haslost nearly a third of its workforcesince the beginning of the second Trump administration, which forced a series of early retirements, buyouts, and resignations across the agency’s various divisions. The now-defunct Private CISA repo showed the contractor also used easily-guessed passwords for a number of internal resources; for example, many of the credentials used a password consisting of each platform’s name followed by the current year. Caturegli said such practices would constitute a serious security threat for any organization even if those credentials were never exposed externally, noting that threat actors often use key credentials exposed on the internal network to expand their reach after establishing initial access to a targeted system. “What I suspect happened is [the CISA contractor] was using this GitHub to synchronize files between a work laptop and a home computer, because he has regularly committed to this repo since November 2025,” Caturegli said. “This would be an embarrassing leak for any company, but it’s even more so in this case because it’s CISA.”

Administradora de CISA filtró claves de AWS GovCloud en GitHub | Ciberseguridad - NarcoObservatorio