Исследователь безопасности Брайан Кребс сообщил, что Агентство кибербезопасности и инфраструктуры США (CISA) оставило в открытом доступе огромное количество конфиденциальных данных. В публичном репозитории GitHub с ноября 2025 года лежали пароли в открытом виде, приватные SSH-ключи, токены и другие секретные материалы CISA.

«Приватный» репозиторий оказался публичным

Репозиторий, названный с ироничной надеждой «Private-CISA», уже удалён, но до этого был доступен всем. На него обратил внимание Гийом Валадон (Guillaume Valadon) из компании GitGuardian — его система сканирования открытого кода обнаружила подозрительный репозиторий. Валадон пытался связаться с владельцами, но не получил ответа и передал информацию Кребсу.

По его данным, администратор репозитория отключил встроенные защиты GitHub, которые обычно предупреждают разработчиков при попытке загрузить секреты. Эти меры как раз и призваны защитить от таких ошибок, особенно новичков.

Доступ к правительственным облакам

Филипп Катурели (Philippe Caturelli), основатель компании Seralys, проверил данные и подтвердил: с помощью найденных учётных данных он получил доступ к нескольким аккаунтам Amazon Web Services GovCloud — специальной версии облака AWS для американских госструктур — с высоким уровнем привилегий.

Подрядчик и повторяющиеся провалы

Судя по всему, репозиторием управляла компания Найтвинг (Nightwing), подрядчик CISA, базирующийся в Вирджинии. На запросы СМИ Найтвинг не ответила, перенаправив их в CISA.

Это уже не первый скандал с CISA в этом году. В январе и.о. директора агентства Мадху Готтумуккала (Madhu Gottumukkala), ранее проваливший полиграф, загрузил секретные документы в ЧатГПТ (ChatGPT), получив отступление от внутреннего запрета на использование ИИ. В феврале его сняли с должности.

Security researcher Brian Krebsbrings us the newsthat America’sCybersecurity & Infrastructure Agency(CISA) has had a large store of plaintext passwords, SSH private keys, tokens, and “other sensitive CISA assets” exposed in a public GitHub repo since at least November 2025.

The now-offline public repo—named, somewhat aspirationally, “Private-CISA”—was brought to Krebs’ attention by GitGuardian’sGuillaume Valadon, who was alerted to the repo’s presence by GitGuardian’s public code scans. Krebs says that Valadon approached him after receiving no responses from the Private-CISA repo’s owner.

In an email to Krebs, Valadon claimed that the repo’s commit logs show that GitHub’s default protections against committing secrets—protections designed to protect unwitting or unskilled developers against exactly this kind of stupidness—had been disabled by the repo’s administrator.

Testing bySeralys founder Philippe Catureglishowed that this was not a joke or hoax and that he was able to use the credentials in the Private-CISA repo to gain access to multiple Amazon Web Services GovCloud accounts “at a high privilege level.”

Krebs notes that the repo appeared to be managed by Virginia-basedNightwing, a CISA contractor. Nightwing has so far not commented publicly, instead referring questions back to CISA.

This isn’t the first time CISA has screwed up—in fact, it’s not even the first timethis year. In January,polygraph-failingacting CISA Director Madhu Gottumukkalauploaded sensitive government documents to ChatGPTafter demanding and receiving an exemption to the agency policy that prohibited ChatGPT’s use by CISA personnel. Gottumukkala wasremoved from his role in February.