Агентство кибербезопасности США случайно выложило свои пароли на GitHub.
У CISA - главного американского агентства по кибербезопасности и защите критической инфраструктуры - произошел факап уровня «выключили сигнализацию и оставили ключи под ковриком».
Исследователи обнаружили публичный GitHub-репозиторий с говорящим названием Private-CISA, внутри которого лежали:
⏺AWS GovCloud-ключи,
⏺токены,
⏺сертификаты,
⏺Terraform-конфиги,
⏺Kubernetes YAML,
⏺CI/CD-логи,
⏺а главное - CSV-файлы с логинами и паролями в открытом виде.
Причем GitHub Secret Scanning - встроенную систему, которая предупреждает о публикации секретов - там просто отключили вручную. По данным исследователей GitGuardian, часть ключей продолжала работать даже спустя почти двое суток после уведомления CISA. Репозиторий был публичным примерно с ноября 2025 года.
Один из специалистов, обнаруживших утечку, назвал это:
«худшей утечкой, которую я видел за всю карьеру».
Ирония тут даже не в самом факте утечки. Такое бывает у всех. Ирония в том, что речь идет об агентстве, которое учит весь мир кибербезопасности, публикует рекомендации по Zero Trust, DevSecOps и защите инфраструктуры. А потом выясняется, что:
⏺пароли лежат в CSV,
⏺секреты коммитятся в Git,
⏺защиту отключают вручную,
⏺а репозиторий называется «Private-CISA» и при этом публичный.
Это очень хороший пример того, что главная проблема кибербезопасности почти всегда не технологии, а люди и процессы.
Шурыгин.IT – про технологии без иллюзий
