Credenziali CISA trapelate sul repository pubblico GitHub

In un grave incidente di sicurezza che sottolinea l'importanza fondamentale di una corretta gestione delle credenziali, la CISA) americana Cybersecurity and Infrastructure Security Agency ha subito una grave violazione di credenziali amministrative sensibili. Il ricercatore di sicurezza Brian Krebs ha recentemente riferito che l'agenzia federale ha inavvertitamente esposto una notevole raccolta di password in chiaro, chiavi private SSH, token di autenticazione e altre risorse CISA sensibili attraverso un repository GitHub accessibile pubblicamente. L'esposizione è attiva da un lungo periodo, con prove che suggeriscono che l'archivio è rimasto visibile al pubblico almeno dal novembre 2025.

La scoperta di questo incidente di esposizione delle credenziali evidenzia un preoccupante divario tra le responsabilità di sicurezza che ci si aspetta da un'agenzia governativa di sicurezza informatica e le effettive pratiche operative impiegate. Il repository in questione è stato chiamato "Private-CISA", il che dimostra un'ironica disconnessione tra lo scopo previsto, ovvero mantenere privati ​​i materiali, e il risultato effettivo di rendere pubbliche le informazioni sensibili. Da allora il repository è stato messo offline, ma non prima di essere potenzialmente scoperto e sfruttato da malintenzionati durante i mesi in cui è rimasto accessibile.

L'avviso riguardante il repository compromesso è arrivato da GitGuardian, una società specializzata in soluzioni di rilevamento di segreti e sicurezza del codice. Guillaume Valadon, ricercatore di GitGuardian, ha scoperto il repository esposto attraverso le continue operazioni di scansione del codice pubblico dell'azienda. Il meccanismo di scoperta di Valadon rappresenta il tipo di sorveglianza automatizzata che identifica i fallimenti della sicurezza prima che gli amministratori umani ne vengano a conoscenza. Dopo aver scoperto la violazione, Valadon ha tentato di contattare direttamente il proprietario del repository, ma non ha ricevuto risposta dai rappresentanti della CISA in merito alle credenziali esposte.

Secondo la corrispondenza tra Valadon e Krebs, la situazione è diventata molto più preoccupante dopo aver esaminato la cronologia dei commit del repository. Le prove dai log git dimostrano che i meccanismi di protezione segreta integrati di GitHub, funzionalità specificatamente progettate per impedire agli sviluppatori di inserire accidentalmente informazioni sensibili, sono stati deliberatamente disabilitati dall'amministratore del repository. Ciò suggerisce che la violazione non è stata semplicemente una svista, ma piuttosto un'elusione deliberata delle stesse garanzie fornite da GitHub per proteggere proprio da questo tipo di errore di sicurezza.

Le implicazioni di questa violazione delle credenziali AWS GovCloud sono sostanziali per l'infrastruttura di sicurezza federale. Le credenziali esposte includevano token di autenticazione per i servizi AWS GovCloud, il che significa un potenziale accesso non autorizzato all'infrastruttura cloud utilizzata dal governo federale. Le chiavi private SSH, se compromesse, potrebbero consentire agli aggressori di accedere direttamente ai sistemi remoti. Le password in chiaro archiviate nei repository del codice sorgente rappresentano una violazione fondamentale delle migliori pratiche di sicurezza e creano molteplici percorsi per l'accesso non autorizzato ai sistemi critici.

Questo incidente solleva seri interrogativi sulla cultura della sicurezza e sulle pratiche di formazione all'interno della CISA, un'organizzazione che ha una responsabilità significativa nella consulenza ad altre agenzie federali ed enti del settore privato su questioni di sicurezza informatica. Gli stessi fallimenti in termini di sicurezza dell'organizzazione minano la sua credibilità come autorità fidata in materia di pratiche di sicurezza delle infrastrutture. Quando l'agenzia incaricata di proteggere le infrastrutture critiche americane non riesce a garantire le proprie credenziali, solleva preoccupazioni sull'efficacia delle sue linee guida ad altre organizzazioni.

La cronologia della denuncia è particolarmente preoccupante, poiché le credenziali sono rimaste accessibili per mesi prima di essere scoperte e denunciate. Durante questo periodo, esistevano molteplici opportunità per i vari autori delle minacce, dai singoli hacker alle sofisticate entità statali, di accedere e sfruttare i segreti esposti. La portata effettiva della violazione rimane poco chiara, poiché è notoriamente difficile determinare se le credenziali siano state scoperte e utilizzate da soggetti non autorizzati.

Le funzionalità di protezione segreta di GitHub, che in questo caso erano disabilitate, funzionano come ultima linea di difesa critica contro gli errori delle credenziali dello sviluppatore. Queste protezioni avvisano gli utenti quando tentano di eseguire il commit di determinati modelli comunemente associati ai segreti, come chiavi AWS, chiavi crittografiche private o token di autenticazione. Disabilitando queste protezioni, l'amministratore del repository ha rimosso una protezione fondamentale progettata specificamente per scenari in cui la vigilanza umana potrebbe fallire.

L'incidente esemplifica un modello più ampio di fallimenti in termini di sicurezza nelle pratiche tecnologiche del governo. Nonostante i significativi investimenti nelle infrastrutture di sicurezza informatica e la creazione di agenzie specializzate come la CISA, le misure di sicurezza operativa di base vengono talvolta trascurate o attivamente aggirate. Questo divario tra le responsabilità di sicurezza e le effettive pratiche di sicurezza rappresenta una sfida continua per i programmi federali di sicurezza delle informazioni.

In risposta alla divulgazione, CISA ha rimosso l'archivio compromesso dall'accesso pubblico. Tuttavia, la natura di lunga data dell'esposizione significa che qualsiasi credenziale contenuta all'interno potrebbe già essere compromessa e richiedere una rotazione immediata. Le organizzazioni che gestiscono le credenziali in modi simili affrontano rischi comparabili e questo incidente funge da monito sui pericoli derivanti dalla disattivazione delle protezioni di sicurezza progettate per prevenire esattamente questo tipo di errori.

La comunità più ampia della sicurezza ha sottolineato l'importanza di trattare la gestione dei segreti con la massima serietà. È necessario utilizzare variabili di ambiente, file di configurazione e sistemi di gestione dei segreti per mantenere le credenziali separate dal codice sorgente. Inoltre, i principi del privilegio minimo garantiscono che, anche se le credenziali vengono compromesse, il potenziale danno è ridotto al minimo attraverso autorizzazioni di accesso limitate.

Questo incidente rafforza la necessità fondamentale per le organizzazioni a tutti i livelli di governo e di settore di mantenere pratiche di sicurezza rigorose, inclusi controlli regolari dei controlli di accesso agli archivi, la disattivazione dei meccanismi di protezione della sicurezza e le pratiche di gestione delle credenziali. Le conseguenze del mancato rispetto di queste pratiche igieniche di sicurezza di base possono essere gravi, in particolare per le organizzazioni responsabili della protezione degli interessi critici di sicurezza delle infrastrutture nazionali.