Peinliche Panne bei der US-Behörde CISA: Ein offenes GitHub-Repo enthielt monatelang Passwörter, AWS-Keys, geheime Token und vieles mehr.
Ausgerechnet die wichtigste US-Behörde für Cybersicherheit hat sich eine massive Sicherheitsblöße geleistet: Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) ließ offenbar über Monate hinweg ein öffentlich erreichbares GitHub-Repository online, das sensible Zugangsdaten, private Schlüssel und Infrastruktur-Geheimnisse im Klartext enthielt. Besonders brisant: Das Repository trug laut Berichten sogar den Namen „Private-CISA“. Auffälliger geht es kaum.
Passwörter und Token offen im Netz
Entdeckt hat das Leck der GitGuardian-Forscher Guillaume Valadon. Der Sicherheitsexperte stieß am 14. Mai auf das Repository und erkannte sofort die Tragweite des Vorfalls. In dem öffentlich erreichbaren GitHub-Projekt lagen laut seinen Angaben unter anderem:
- AWS-Zugangsdaten,
- Kubernetes-Konfigurationen,
- Terraform-Code,
- GitHub-Token,
- Azure-Registry-Keys,
- SAML-Zertifikate,
- sowie Zugangsdaten für interne Systeme der Behörde.
Die Dateinamen wirkten dabei laut Valadon fast schon absurd:
- external-secret-repo-creds.yaml
- Important AWS Tokens.txt
- AWS-Workspace-Firefox-Passwords.csv
- Kube-Config.txt
Der Forscher erklärte später, er habe zunächst an einen Scherz geglaubt, weil die Struktur des Repositories „zu offensichtlich“ wirkte.
Dateien der CISA über sechs Monate öffentlich erreichbar
Besonders problematisch: Die Daten sollen rund sechs Monate lang öffentlich zugänglich gewesen sein. Laut GitGuardian umfasste das Repository rund 844 Megabyte an Infrastrukturmaterial aus produktiven Umgebungen.
Valadon bezeichnete den Vorfall als einen der schwerwiegendsten Sicherheits-Leaks, den man sich vorstellen könne: „Eine nationale Sicherheitsbehörde mit fast einem Gigabyte produktiver Infrastrukturdateien in einem öffentlichen GitHub-Repo – schlimmer wird es kaum.“
Anleitung zum Abschalten der Secret-Scans
Noch peinlicher für die US-Behörde: Im Repository befand sich laut Bericht sogar eine Anleitung, wie man GitHubs Secret-Scanning deaktiviert.
Zusätzlich fanden sich:
- Backups der CISA direkt im Git-Repository,
- Passwörter im Klartext,
- gemischte private und dienstliche Accounts,
- sowie Commit-Aktivitäten mit persönlicher Yahoo-Adresse und offizieller CISA-Mailadresse.
Gerade diese Vermischung privater und beruflicher Identitäten gilt in der Szene als hochriskant, weil Sicherheitsabteilungen solche Konstellationen nur schwer überwachen können.
Brian Krebs beschleunigte Löschung
Nachdem Valadon die Sicherheitslücke zunächst über das CERT/CC-Meldeportal gemeldet hatte und lediglich eine automatische Antwort erhielt, kontaktierte er den bekannten Sicherheitsjournalisten Brian Krebs. Kurz darauf reagierte CISA offenbar deutlich schneller: Bereits am Abend des Folgetages verschwand das Repository aus GitHub. Die Behörde erklärte inzwischen, der Vorfall werde untersucht. „Derzeit gibt es keine Hinweise darauf, dass sensible Daten kompromittiert wurden.“
Szene reagiert mit Spott
In der IT-Sicherheits-Community sorgt der Vorfall erwartungsgemäß für Häme. Ausgerechnet jene Behörde, die Unternehmen und Behörden regelmäßig Sicherheitsrichtlinien vorgibt, hinterließ laut GitGuardian ein regelrechtes „Lehrbuch unsicherer Praktiken“. Die Panne kommt zudem zu einem denkbar schlechten Zeitpunkt, denn die CISA hat aktuell keinen dauerhaften Leiter. Die Behörde kämpft mit Budgetkürzungen und verlor zuletzt bereits zahlreiche Mitarbeiter. Den Kollegen vom Register teilte ein Sprecher auf Anfrage mit, der Leak sei der Behörde bekannt. Man untersuche den Vorfall derzeit.
Selbst die CISA ist nicht vor menschlichen Fehlern sicher
Ob die Zugangsdaten von Dritten missbraucht wurden, ist bislang unklar. GitGuardian erklärte jedoch, man habe bislang keine Hinweise auf aktive Angriffe mit den geleakten Credentials gefunden.
Der Fall zeigt einmal mehr: Selbst höchste Sicherheitsbehörden sind nicht vor elementaren Fehlern geschützt. Besonders dann nicht, wenn mangelnde Führung, operative Hektik, Personalmangel und schlechte Sicherheitsprozesse zusammenkommen.
