Ο ερευνητής ασφαλείας Brian Krebs Μας φέρνει νέα Αυτή είναι η Αμερική Οργανισμός Κυβερνοασφάλειας και Υποδομής (CISA) διαθέτει ένα μεγάλο κατάστημα με κωδικούς πρόσβασης απλού κειμένου, ιδιωτικά κλειδιά SSH, διακριτικά και “άλλα ευαίσθητα στοιχεία CISA” που έχουν εκτεθεί σε δημόσιο αποθετήριο GitHub τουλάχιστον από τον Νοέμβριο του 2025.
Το πλέον εκτός σύνδεσης δημόσιο repo – που ονομάζεται, κάπως φιλόδοξα, “Private-CISA” – τέθηκε υπόψη του Krebs από το GitGuardian. Γκιγιόμ ΒαλαντόνΌσοι ειδοποιήθηκαν για την παρουσία του repo από τη δημόσια σάρωση κωδικών του GitGuardian. Ο Krebs είπε ότι ο Valadon επικοινώνησε μαζί του αφού δεν έλαβε καμία απάντηση από τον ιδιοκτήτη του ιδιωτικού αποθετηρίου CISA.
Σε ένα email στο Krebs, ο Valadon ισχυρίζεται ότι τα αρχεία καταγραφής δέσμευσης του repo δείχνουν ότι οι προεπιλεγμένες προστασίες του GitHub έναντι παραβιάσεων απορρήτου -προστασίες που έχουν σχεδιαστεί για να προστατεύουν τους αθέλητους ή ανίκανους προγραμματιστές από ακριβώς αυτό το είδος βλακείας- έχουν απενεργοποιηθεί από τον διαχειριστή του repo.
δοκιμή από Ο ιδρυτής της Seralis, Philip Caturgoli έδειξε ότι δεν επρόκειτο για φάρσα ή φάρσα και ότι ήταν σε θέση να χρησιμοποιήσει διαπιστευτήρια στο ιδιωτικό αποθετήριο CISA για να αποκτήσει πρόσβαση σε πολλούς λογαριασμούς GovCloud των Υπηρεσιών Ιστού της Amazon «σε υψηλό επίπεδο προνομίων».
Ο Krebs σημειώνει ότι το repo φαίνεται να διευθύνεται από εταιρεία με έδρα τη Βιρτζίνια NightwingΑνάδοχος της CISA. Η Nightwing δεν έχει σχολιάσει ακόμη δημόσια, αντ’ αυτού παραπέμπει ερωτήσεις στην CISA.
Αυτή δεν είναι η πρώτη φορά που η CISA παραπλανά — στην πραγματικότητα, δεν είναι καν η πρώτη φορά φέτος. Τον Ιανουάριο, Πολύγραφος-αστοχία Ο αναπληρωτής διευθυντής της CISA Madhu Gottumukkala ανέβασε ευαίσθητα κυβερνητικά έγγραφα στο ChatGPT αφού διεκδίκησε και έλαβε εξαίρεση από την πολιτική της υπηρεσίας που απαγορεύει τη χρήση του ChatGPT από το προσωπικό της CISA. Το Gottumukkal ήταν Αποσύρθηκε από τον ρόλο τον Φεβρουάριο.
