CISA: credenziali AWS GovCloud esposte su GitHub per mesi, Congresso in pressing
La senatrice Hassan chiede un briefing classificato a CISA dopo la scoperta di un repository GitHub pubblico con chiavi AWS GovCloud, password in plaintext e d…
Contenuto
La senatrice Maggie Hassan ha inviato una lettera al direttore ad interim della CISA, Nick Andersen, con richiesta di briefing classificato e risposte scritte entro il 5 giugno. È la reazione più dura di un membro del Congresso alla scoperta, avvenuta il 14 maggio, di un repository GitHub pubblico denominato 'Private-CISA' che per quasi 6 mesi ha esposto credenziali AWS GovCloud, password in plaintext e segreti operativi. La lettera trasforma un incidente tecnico in un test di accountability politica sull'agenzia di cybersecurity più potente degli Stati Uniti.
- Un repository pubblico gestito da un contractor di Nightwing ha esposto quasi 844MB di dati sensibili dal 13 novembre 2025, inclusi chiavi AWS GovCloud con privilegi elevati
- Il ricercatore Guillaume Valadon di GitGuardian ha scoperto comandi espliciti per disabilitare i controlli nativi di rilevamento segreti di GitHub nel repository
- Le chiavi AWS sono rimaste valide per altre 48 ore dopo la rimozione del repository, secondo test condotti dal ricercatore indipendente Philippe Caturegli di Seralys
- Hassan, Thompson e Ramirez del Congresso chiedono risposte dettagliate mentre CISA nega indicazioni di compromissione effettiva dei dati
Cosa conteneva il repository 'Private-CISA'
Il repository, creato il 13 novembre 2025 secondo i metadati GitHub, conteneva una superficie di attacco eccezionalmente ampia. Oltre a 844MB di dati, includeva un file denominato 'AWS-Workspace-Firefox-Passwords.csv' con credenziali interne in plaintext, un file 'importantAWStokens' con admin credentials, e una directory 'ENTRA ID - SAML Certificates/' con certificati per l'autenticazione federata.
Guillaume Valadon, ricercatore di GitGuardian che ha scoperto il repository, ha descritto l'insieme come "la peggiore fuga di dati" della sua carriera. In un'analisi tecnica, ha evidenziato come il materiale fornisse "una vista dettagliata sull'infrastruttura cloud, i flussi di deployment, i tool della supply-chain software e le pratiche operative interne" dell'agenzia.
La natura dei dati — non semplici credenziali isolate ma blueprint dell'intero stack operativo — rende l'incidente qualitativamente diverso da una tipica esposizione di API key. I log CI/CD e i manifest Kubernetes esposti avrebbero potuto permettere a un attore malevolo di comprendere l'architettura dei sistemi CISA e identificare punti di ingresso per movimento laterale.
Chiavi attive e controlli disabilitati
Il problema non si è limitato all'esposizione storica. Philippe Caturegli, ricercatore indipendente di Seralys, ha validato tecnicamente le chiavi AWS esposte: erano in grado di autenticarsi a tre account AWS GovCloud con privilegi elevati. Il dato più allarmante riguarda la tempistica di risposta: le chiavi sono rimaste valide per circa 48 ore dopo che CISA ha rimosso il repository, lasciando una finestra di rischio nonostante l'intervento dell'agenzia.
A peggiorare la situazione, i commit log mostravano comandi espliciti per disabilitare il default blocking di GitHub per la pubblicazione di SSH keys e secrets. Questo indica una consapevolezza, da parte di chi gestiva il repository, dei controlli di sicurezza esistenti e una decisione attiva di aggirarli. Le password seguivano inoltre uno schema prevedibile: nome della piattaforma seguito dall'anno corrente, un pattern facilmente bruteforcabile.
"Passwords stored in plain text in a csv, backups in git, explicit commands to disable GitHub secrets detection feature [...] This is indeed the worst leak that I've witnessed in my career." — Guillaume Valadon, GitGuardian
Caturegli ha evidenziato le conseguenze potenziali in termini di supply chain: "Sarebbe un posto ideale per muoversi lateralmente [...] Backdoor in alcuni pacchetti software, e ogni volta che costruiscono qualcosa di nuovo distribuiscono la tua backdoor a destra e a sinistra." La citazione non descrive un attacco accertato, ma illustra il modello di minaccia reso possibile dalla natura dei dati esposti.
Il pressing del Congresso e le 12 domande di Hassan
La lettera di Hassan, senatrice democratica del New Hampshire, è datata 19 maggio e rappresenta l'escalation politica dell'incidente. Non si limita a richiedere informazioni: chiede un briefing classificato e 12 risposte scritte specifiche, con deadline fissata al 5 giugno. Il tono è secco: "Queste notizie sollevano serie preoccupazioni sulle politiche e procedure interne della CISA in un momento di significative minacce alla cybersecurity delle infrastrutture critiche degli Stati Uniti."
Hassan non è isolata. Bennie Thompson, presidente del comitato per la sicurezza interna, e Delia Ramirez, responsabile del sottocomitato cyber, avevano già richiesto un briefing su come si è verificato il lapso e sulle azioni correttive. La convergenza tra democratici di diversi livelli del Congresso suggerisce che l'incidente sarà utilizzato come leva legislativa, in particolare in un momento in cui CISA attraversa tagli di personale e budget.
La posizione di CISA resta quella della negazione di compromissione effettiva. Un portavoce dell'agenzia ha dichiarato: "Attualmente, non ci sono indicazioni che dati sensibili siano stati compromessi come risultato di questo incidente." L'agenzia ha aggiunto di stare implementando "salvaguardie aggiuntive", senza specificare di che natura.
Cosa fare adesso
Per organizzazioni che gestiscono infrastrutture critiche o collaborano con contractor governativi, l'incidente offre un quadro di riferimento operativo immediato:
- Verificare la configurazione di GitHub Secrets Protection: controllare che i repository pubblici e privati non abbiano override locali dei controlli di rilevamento, e che il blocking sia attivo a livello organizzativo senza eccezioni per singoli utenti
- Audit delle credenziali cloud con rotazione forzata: le chiavi esposte devono essere revocate non solo alla rimozione del repository ma con verifica attiva di effettiva invalidazione, dato che la propagazione può richiedere ore o giorni
- Ispezione dei repository di sincronizzazione personale: verificare che i dipendenti e contractor non utilizzino GitHub come "scratchpad" per backup o sincronizzazione di file operativi, pratica non confermata come autorizzata né da CISA né da Nightwing
- Validazione degli schema password aziendali: eliminare pattern prevedibili basati su nome servizio + anno, e implementare generazione casuale con gestore di credenziali enterprise per accessi cloud e amministrativi
Il test di accountability che CISA non poteva evitare
L'incidente mette in luce una contraddizione strutturale: CISA è l'agenzia che prescrive standard di cybersecurity al resto del paese, ma il leak avviene nella sua stessa catena di fornitura. Il repository gestito da un contractor di Nightwing — il cui ruolo esatto all'interno di CISA non è stato reso pubblico — ha operato per mesi con pratiche che violano principi basilari di gestione dei segreti.
La durata dell'esposizione, quasi 6 mesi, solleva interrogativi sui controlli di terza parte che CISA applica ai propri vendor. Non è noto se la pratica di sincronizzazione su GitHub fosse autorizzata o anche solo conosciuta da chi supervisionava il contractor. Questa zona grigia di governance è probabilmente al centro delle 12 domande di Hassan.
La politica interna americana aggiunge un ulteriore strato di pressione. I tagli di personale e budget che hanno colpito CISA nel 2026, avanzati da alcuni membri del Congresso come possibile causa contribuente, non sono confermati come fattori diretti dell'incidente. Tuttavia, la convergenza temporale rende inevitabile che il leak venga utilizzato come argomento nei dibattiti sulla dotazione dell'agenzia.
Resta infine il vuoto di conoscibilità su eventuali accessi non autorizzati durante il periodo di esposizione. Senza log conclusivi di download o utilizzo da parte di attori malevoli, CISA può sostenere la linea della "nessuna indicazione di compromissione" — ma questa è una prova di assenza, non di assenza di prova. Per un'agenzia di intelligence cyber, la differenza è sostanziale.
Domande frequenti
Perché le chiavi AWS sono rimaste valide dopo la rimozione del repository?
La rimozione di un repository GitHub non revoca automaticamente le credenziali AWS esposte nel suo contenuto. La rotazione delle chiavi richiede un'azione amministrativa separata sui servizi cloud, che in questo caso non è stata eseguita tempestivamente, lasciando una finestra di circa 48 ore.
Chi è Nightwing e qual è il suo ruolo nella gestione del repository?
Nightwing è un contractor che fornisce servizi a CISA. Il repository 'Private-CISA' era gestito da un contractor di Nightwing, ma il ruolo specifico di questa persona all'interno dell'organizzazione e le eventuali sanzioni non sono stati resi pubblici dalle fonti disponibili.
Il leak è collegato ai tagli di budget di CISA?
Alcuni membri del Congresso hanno sollevato questa ipotesi, ma non esistono prove che colleghino direttamente i tagli alla gestione del repository o alla mancanza di controlli. Resta una questione politica in dibattito, non un fatto accertato.
Fonti
- https://therecord.media/hassan-presses-cisa-github-leak
- https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/
- https://cyberscoop.com/cisa-credential-leak-congress-demands-answers/
- https://www.darkreading.com/cybersecurity-operations/cisa-exposes-secrets-credentials-private-repo
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.