Секретные учётные данные CISA полгода лежали в открытом репозитории GitHub
Пароли, SSH-ключи и токены американского агентства кибербезопасности были доступны всем желающим как минимум с ноября 2025 года.

Содержание
Американское агентство кибербезопасности CISA оказалось в центре громкого скандала: его конфиденциальные учётные данные — пароли в открытом виде, SSH-ключи, токены и другие чувствительные материалы — с ноября 2025 года находились в публично доступном репозитории на GitHub. Об этом сообщил известный исследователь безопасности Брайан Кребс. Репозиторий с красноречивым названием «Private-CISA» уже удалён, однако ущерб от утечки ещё предстоит оценить.
Как это обнаружили — и насколько всё серьёзно
Проблему выявил Гийом Валадон из компании GitGuardian — в ходе автоматического сканирования публичного кода на GitHub. Когда попытки связаться с владельцем репозитория не дали результата, Валадон обратился к Кребсу. По его словам, история коммитов показала: администратор репозитория намеренно отключил встроенные механизмы защиты GitHub, которые по умолчанию блокируют случайную публикацию секретов. Иными словами, это не техническая ошибка платформы — кто-то сознательно обошёл защиту.
Чтобы проверить, не является ли находка фейком, основатель компании Seralys Филипп Катюрели провёл практический тест. Результат оказался однозначным: используя учётные данные из репозитория, ему удалось получить доступ к нескольким аккаунтам Amazon Web Services GovCloud — правительственного облачного сегмента AWS — с высоким уровнем привилегий. Это означает, что злоумышленники потенциально могли управлять федеральной инфраструктурой.
По данным Кребса, репозиторий, судя по всему, вёлся компанией Nightwing — подрядчиком CISA, зарегистрированным в штате Вирджиния. Nightwing от комментариев отказалась, переадресовав все вопросы обратно в агентство.
CISA: не первый провал за год
Этот инцидент — далеко не первый в череде репутационных потерь агентства. В январе 2026 года исполняющий обязанности директора CISA Мадху Готтумукала загрузил секретные правительственные документы в ChatGPT. Примечательно, что незадолго до этого он лично добился для себя исключения из внутренней политики агентства, запрещавшей сотрудникам использовать ChatGPT. В феврале Готтумукала был отстранён от должности — в том числе после того, как стало известно о проваленном полиграфе.
Два громких инцидента за несколько месяцев складываются в тревожную картину: организация, призванная защищать критическую инфраструктуру США от киберугроз, демонстрирует системные проблемы с базовой культурой информационной безопасности. Показательно, что именно CISA публикует рекомендации для частного сектора о том, как правильно управлять секретами и доступами.
Что это значит для IT-профессионалов
История с CISA — наглядный пример того, что организационный масштаб и государственный статус не гарантируют защиты от элементарных ошибок. Отключение встроенных защитных механизмов GitHub ради удобства — практика, с которой сталкиваются и небольшие команды разработчиков, и крупные корпорации.
Для белорусских IT-компаний, работающих с зарубежными заказчиками или хранящих чувствительные данные в облаке, этот кейс — повод пересмотреть процессы работы с секретами. Инструменты вроде GitGuardian, truffleHog или встроенного GitHub Secret Scanning позволяют автоматически обнаруживать случайно опубликованные ключи и токены. Резиденты ПВТ, работающие по контрактам с американскими или европейскими клиентами, нередко обязаны соответствовать требованиям SOC 2 или ISO 27001 — а управление секретами там является одним из базовых контрольных пунктов.
Отдельный урок — в цепочке подрядчиков. Nightwing, предположительно ответственная за репозиторий, — не сама CISA, а внешний исполнитель. Это классический риск supply chain: даже если внутренние процессы организации выстроены корректно, уязвимость может прийти со стороны партнёра или подрядчика, имеющего доступ к критическим системам.
Пока CISA не раскрыла, как долго учётные данные были активны, кто имел к ним доступ и были ли они уже использованы до того, как репозиторий закрыли. Расследование продолжается.
— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.








