La CISA, l’agenzia che difende le reti federali USA, ha lasciato le sue chiavi AWS su GitHub

Un ricercatore di GitGuardian, Guillaume Valadon, stava passando in rassegna i commit pubblici di GitHub quando si è imbattuto in un repository il cui nome sembrava un errore: Private-CISA. Apparteneva a un appaltatore della Cybersecurity and Infrastructure Security Agency, l’organismo federale incaricato di difendere le reti del governo degli Stati Uniti. Al suo interno c’erano credenziali amministrative per tre account AWS GovCloud, un file CSV con nomi utente e password in chiaro per decine di sistemi interni della CISA e note passo passo su come l’agenzia costruisce, testa e distribuisce il proprio software. L’appaltatore aveva anche disattivato la funzione di GitHub che analizza i push alla ricerca di segreti esposti.

Due nomi di file nell’albero Private-CISA bastano da soli a fare la maggior parte del danno. Il primo, importantAWStokens, elenca le chiavi amministrative dei tre server GovCloud. Il secondo, AWS-Workspace-Firefox-Passwords.csv, è esattamente quello che il nome lascia intendere: un export di password di Firefox, in chiaro, che copre gli spazi di lavoro interni della CISA, l’artifactory dell’agenzia per i pacchetti di codice interno e il suo ambiente Landing Zone DevSecOps, lo spazio controllato in cui le squadre federali scrivono e revisionano codice di sensibilità quasi classificata. Non c’è nessun livello di cifratura, nessun riferimento a un vault, nessuna logica di rotazione dei token. È un CSV.

AWS GovCloud è la regione cloud isolata che Amazon gestisce per i carichi di lavoro del governo statunitense che devono restare all’interno del perimetro di conformità FedRAMP High e affini. Le chiavi di livello amministrativo in quella regione non sono credenziali cloud ordinarie. Sono le chiavi che consentono a un attaccante di creare nuovi account, modificare la configurazione dei log e attivare infrastruttura all’interno di una regione che dovrebbe restare ermetica rispetto a internet pubblico. Chiunque abbia copiato il file importantAWStokens durante i sei mesi in cui è rimasto in chiaro avrebbe potuto entrare direttamente in quell’ambiente.

Lo schema dell’appaltatore, per chi ha poi setacciato la cronologia dei commit, non sembrava nulla di più sinistro che comodità. I push avevano la cadenza di qualcuno che sincronizza file tra un portatile di lavoro e una macchina di casa attraverso Git. Per rendere possibile quel flusso di lavoro senza far scattare gli allarmi di scansione dei segreti, il titolare dell’account ha dovuto disattivare manualmente la push protection predefinita di GitHub, un’impostazione che esiste proprio per fermare questo tipo di incidente. Il blocco è stato disinserito, e i commit sono iniziati.

La dichiarazione ufficiale della CISA inquadra l’episodio come contenuto. «Non ci sono indicazioni che dati sensibili siano stati compromessi a seguito di questo incidente», ha affermato l’agenzia, aggiungendo che avrebbe introdotto ulteriori misure di salvaguardia. È un’affermazione più ristretta di quanto sembri a prima lettura. Per sapere che nessun account GovCloud sia stato abusato in sei mesi, un auditor dovrebbe ripercorrere ogni voce di CloudTrail, ogni modifica di ruolo IAM e ogni accesso agli spazi di lavoro in quella finestra — e l’agenzia non ha dichiarato di aver svolto questo lavoro, ha detto soltanto che finora non vede prove. Osservatori indipendenti hanno inoltre rilevato che le chiavi di accesso AWS trapelate sono rimaste valide per circa due giorni dopo la rimozione del repository, ovvero la finestra in cui qualunque copia fatta prima avrebbe ancora funzionato.

È la stessa agenzia che gestisce il programma federale Secret Sprawl, pubblica linee guida agli altri dipartimenti sull’igiene delle credenziali e ha ripetutamente avvertito gli operatori privati che l’esposizione di token API nel controllo di versione è uno dei punti di ingresso più comuni per i gruppi ransomware. Il suo stesso catalogo Known Exploited Vulnerabilities, quello che gli appaltatori statunitensi sono tenuti per legge a monitorare, tratta le credenziali cloud non ruotate come una rilevazione ad alta severità. Il repository Private-CISA rispondeva a ogni criterio che l’agenzia adotta quando dice a tutti gli altri che hanno fallito.

Valadon, che lavora nel team di ricerca di GitGuardian, ha detto che la scoperta restava difficile da accettare anche dopo averla verificata. «Password salvate in chiaro in un CSV, backup in Git, comandi espliciti per disattivare il rilevamento dei segreti di GitHub», ha scritto. «Onestamente credevo che fosse tutto falso, prima di analizzare il contenuto in profondità. Si tratta davvero del peggior leak che abbia visto nella mia carriera.» GitGuardian ha allertato la CISA il 15 maggio, e nel fine settimana successivo il repository è stato reso privato.

Quello che la CISA non ha ancora detto pubblicamente è se gli account GovCloud coinvolti siano stati interamente ruotati, quali sistemi interni inclusi nel CSV delle password abbiano effettivamente cambiato credenziali, e se l’Office of Inspector General del Department of Homeland Security aprirà una revisione formale. L’appaltatore, che secondo le ricostruzioni lavora per la società federale di cybersicurezza Nightwing, non è stato identificato pubblicamente. Il repository è stato creato il 13 novembre 2025 e rimosso a metà maggio 2026, il che porta la finestra di esposizione pubblica a sei mesi e due giorni. Il numero che il pubblico ha diritto di conoscere ora è in quanti di quei giorni le chiavi siano state effettivamente usate.

Tag: AWS GovCloud, CISA, credential leak, GitGuardian, GitHub, Guillaume Valadon, Nightwing, notizie, sicurezza informatica