Конфиденциальные данные о внутренней инфраструктуре Агентства по кибербезопасности и защите инфраструктуры США (CISA) на протяжении шести месяцев оставались в открытом доступе на GitHub, сообщает The Register.
Утечку обнаружил исследователь из компании GitGuardian Гийом Валадон (Guillaume Valadon) 14 мая 2026 года. В репозитории содержались незашифрованные пароли, приватные криптографические ключи, токены и прочие секреты, включая файлы с названиями, не оставляющими сомнений в их конфиденциальности: "external-secret-repocreds.yaml" и "AWS-Workspace-Firefox-Passwords.csv".
"Я сразу понял, что утечка крайне серьезна, а времени в обрез. Национальное агентство полгода держало 844 МБ данных о своей продакшн-инфраструктуре в общедоступном репозитории GitHub – хуже не придумаешь", – прокомментировал Валадон в интервью The Register.
По словам специалиста, имеющего многолетний опыт работы во французском аналоге CISA – ANSSI, в утечку попали код для автоматического развертывания инфраструктуры Terraform, учетные данные CISA в облаке AWS, ключи доступа к облачному реестру контейнеров Microsoft Azure, внутреннему хранилищу бинарных артефактов и пакетов JFrog Artifactory, файлы конфигурации Kubernetes и ArgoCD, сертификаты системы облачной авторизации Entra ID SAML, а также персональные токены доступа к GitHub.
GitGuardian уведомила CISA о находке в день ее обнаружения, однако ведомство удалило проблемный репозиторий только на следующий день.
Представитель агентства подтвердил, что CISA осведомлена об инциденте и в настоящее время проводит внутреннее расследование. Он также заверил The Register, что на данный момент признаков утечки данных не выявлено.
В GitGuardian также не зафиксировали случаев использования обнаруженной информации злоумышленниками. Согласно открытым данным GitHub, до удаления репозиторий не имел форков, что, однако, не исключает вероятности утечки.
Как отметил Валадон, каждая категория секретов (конфиденциальных цифровых данных), найденных в репозитории CISA, открывает перед злоумышленниками определенный вектор атаки. В совокупности же они представляют собой сведения, которые можно применить в самых разнообразных атаках.
Их итоговый результат мог бы варьироваться от уничтожения инфраструктуры CISA или ее заражения вымогательским ПО до незаметного проникновения и закрепления в системе сборки и развертывания внутреннего программного обеспечения ведомства.
Последний из описанных сценариев вызвал у эксперта по кибербезопасности наибольшую тревогу, как он сам признается. Именно поэтому он незамедлительно связался с CISA и предупредил Брайана Кребса (Brian Krebs), известного журналиста, который специализируется на вопросах информационной безопасности и, вероятно, имеет контакты в этом агентстве. Всё это делалось для того, чтобы добиться скорейшего удаления репозитория.
Примечательно, что пользователь GitHub, с чьей учетной записи были опубликованы секретные данные об инфраструктуре CISA, использовал адрес электронной почты одного из официально одобренных подрядчиков агентства, а также личный почтовый ящик от сервиса Yahoo. К тому же сам репозиторий на GitHub был создан через личный аккаунт.
Трудно представить, что подобный инцидент мог бы положительно сказаться на репутации CISA. В своем нынешнем виде это ведомство было основано в 2018 году, во время первого срока президента США Дональда Трампа (Donald Trump). Оно отвечает за кибербезопасность и защиту инфраструктуры на всех уровнях государственного управления, координирует программы в области кибербезопасности с американскими штатами и усиливает защиту правительства от хакеров — как действующих в личных интересах, так и работающих на иностранные государства.
При этом в 2025 году сам создатель ведомства — Трамп, во время своего второго президентского срока, предложил сократить финансирование CISA почти на 500 миллионов долларов. По его мнению, организация превратилась в орган интернет-цензуры и недостаточно внимания уделяла своим основным обязанностям.
Помимо проблем с финансированием и отношений с действующей администрацией, CISA также сталкивается с организационными трудностями. В частности, агентство до сих пор не смогло назначить постоянного руководителя. В конце февраля 2026 года исполняющим обязанности директора CISA стал Ник Андерсен (Nick Andersen). До него, с начала второго срока Трампа, эту должность занимал Мадху Готтумуккала (Madhu Gottumukkala), который, по некоторым данным, не всегда с должной серьезностью относился к политике информационной безопасности в организации, которой руководил.
