A agência federal de cibersegurança dos EUA deixou as chaves da AWS no GitHub

Um pesquisador da GitGuardian chamado Guillaume Valadon estava varrendo commits públicos no GitHub quando esbarrou em um repositório cujo nome soava como erro: Private-CISA. Pertencia a um contratado da Cybersecurity and Infrastructure Security Agency, o órgão federal responsável por defender as redes do governo dos Estados Unidos, e dentro havia credenciais de administrador para três contas da AWS GovCloud, um arquivo separado por vírgulas com usuários e senhas em texto puro de dezenas de sistemas internos da CISA e anotações passo a passo sobre como a agência constrói, testa e implanta o próprio software. O mesmo contratado também desligou o recurso do GitHub que escaneia envios em busca de segredos expostos.

Dois nomes de arquivo na árvore Private-CISA fazem quase todo o estrago sozinhos. Um, importantAWStokens, lista as chaves de administrador dos três servidores GovCloud. O outro, AWS-Workspace-Firefox-Passwords.csv, é exatamente o que parece: uma exportação de senhas do Firefox, em texto claro, cobrindo ambientes internos da CISA, o artifactory onde a agência guarda seus pacotes de código e o Landing Zone DevSecOps, o espaço controlado em que equipes federais escrevem e revisam código próximo do classificado. Não há camada de criptografia, não há referência a cofre de segredos, não há rotação de tokens. É um CSV.

A AWS GovCloud é a região isolada que a Amazon mantém para cargas de trabalho do governo americano que precisam ficar dentro de FedRAMP High e marcos de conformidade equivalentes. Chaves de nível administrador nessa região não são credenciais corriqueiras. Permitem que um invasor crie novas contas, mude a configuração de logs e suba infraestrutura dentro de uma região que deveria ser hermética em relação à internet pública. Quem tenha copiado o arquivo importantAWStokens nos seis meses em que ele ficou à vista podia ter entrado direto naquele ambiente.

O padrão de uso do contratado, para quem depois pentea o histórico de commits, parecia mera conveniência. Os envios ao repositório tinham a cadência de alguém sincronizando arquivos entre um notebook de trabalho e uma máquina de casa via Git. Para que esse fluxo rodasse sem disparar os alarmes de detecção de segredos, o dono da conta precisou desligar manualmente a proteção padrão do GitHub, uma opção que existe justamente para frear esse tipo de descuido. O bloqueio foi desligado e os commits começaram.

O comunicado oficial da CISA enquadra o episódio como contido. ‘Não há indicação de que qualquer dado sensível tenha sido comprometido em razão deste incidente’, disse a agência, acrescentando que vai colocar salvaguardas adicionais em prática. A afirmação é mais estreita do que parece. Para saber com segurança que nenhuma conta GovCloud foi abusada em seis meses, um auditor precisa percorrer cada entrada do CloudTrail, cada mudança de papel IAM e cada login de workspace dessa janela, e a CISA não disse que esse trabalho foi feito; disse apenas que, por enquanto, não vê evidência. Observadores independentes notaram ainda que as chaves de acesso da AWS vazadas continuaram válidas por cerca de quarenta e oito horas depois da retirada do repositório, intervalo em que qualquer cópia anterior continuaria funcionando.

É a mesma agência que coordena o programa federal Secret Sprawl, publica orientações para outros departamentos sobre higiene de credenciais e avisa repetidamente operadores privados de que expor tokens de API em repositórios de código é uma das portas de entrada mais comuns para grupos de ransomware. Seu próprio Catálogo de Vulnerabilidades Exploradas Conhecidas, aquele que contratados federais são legalmente obrigados a acompanhar, trata credenciais de nuvem não rotacionadas como achado de severidade alta. O repositório Private-CISA cumpriu todos os critérios que a agência usa quando diz aos outros que falharam.

Valadon, do time de pesquisa da GitGuardian, contou que o achado foi difícil de aceitar mesmo depois de confirmado. ‘Senhas guardadas em texto puro em um CSV, backups no Git, comandos explícitos para desativar a detecção de segredos do GitHub’, escreveu. ‘Honestamente, achei que fosse tudo falso antes de analisar o conteúdo a fundo. É, de fato, o pior vazamento que já vi na minha carreira.’ A GitGuardian avisou a CISA no dia 15 de maio e o repositório foi tornado privado no fim de semana seguinte.

O que a CISA ainda não disse publicamente é se as contas GovCloud afetadas foram totalmente rotacionadas, quais sistemas internos do CSV de senhas tiveram as credenciais trocadas e se o Inspetor-Geral do Departamento de Segurança Interna vai abrir uma revisão formal. O contratado, descrito em relatos como funcionário da empresa federal de cibersegurança Nightwing, não foi identificado. O repositório foi criado em 13 de novembro de 2025 e retirado em meados de maio de 2026, o que dá uma janela de exposição pública de seis meses e dois dias. O próximo número que o público merece saber é em quantos desses dias as chaves estiveram, de fato, em uso.

Tags: AWS GovCloud, CISA, GitGuardian, GitHub, Guillaume Valadon, Nightwing, segurança cibernética, vazamento de credenciais