3min Security

CISA lekte zes maanden AWS GovCloud-sleutels op GitHub

Negen alerts genegeerd?

CISA lekte zes maanden AWS GovCloud-sleutels op GitHub

CISA is de hoogstgeplaatste cybersecurityautoriteit in de VS. Via een leverancier was CISA zelf echter slachtoffer van een datalek. Het laat zien dat iedereen getroffen kan worden, maar belangrijker: dat zelfs dit orgaan maandenlang waarschuwingen kan negeren.

Op 15 mei ontving CISA van KrebsOnSecurity een waarschuwing over gelekte AWS GovCloud-keys en andere CISA-credentials die op GitHub publiek beschikbaar waren. Wat daaraan vooraf ging, was een negental geautomatiseerde alerts vanuit GitGuardian, dat naar securityexpert Brian Krebs stapte voor hulp.

Postmortem van een postmortem

Naast Krebs publiceerde CISA zelf tevens een postmortem over het incident. De cyberwaakhond stelt, ogenschijnlijk zonder zich bewust te zijn van de ironie, dat het “snelle en alomvattende actie” ondernam. CISA hoopt dat de eigen transparantie het goede voorbeeld is.

De GitHub-repository in kwestie kende de naam “Private CISA”; direct duidelijk, maar dermate open en bloot dat we het cybercriminelen kunnen vergeven als ze het als een honeypot zagen. De repo bevatte 844 MB aan gevoelige data. In een bestand met de net zo veelzeggende titel “importantAWStokens” stonden de administratieve inloggegevens voor drie Amazon AWS GovCloud-servers. Een tweede bestand somde gebruikersnamen en wachtwoorden voor tientallen interne CISA-systemen in platte tekst op.

CISA reageerde zoals gezegd snel op de melding van 15 mei. Toch duurde het meer dan 48 uur voordat de AWS-sleutels en andere secrets waren ingetrokken. Volgens het rapport zorgde de complexiteit van de eigen systemen en de verwevenheid met partners voor de vertraging. CISA oppert daarom dat andere partijen een “volwassen” en “goed getest” key-beheer naleven.

Negen genegeerde waarschuwingen

De negen meldingen van GitGuardian naar CISA bleven dus onbeantwoord. GitGuardian-onderzoeker Guillaume Valadon stelde dat deze misser van een incident van een enkele dag een lek van een halfjaar maakte.

CISA erkent in de postmortem dat de meldkanalen voor externe partijen niet goed waren gedefinieerd. Daardoor probeerde de onderzoeker meerdere wegen, waaronder een mail aan de getroffen leverancier en het reguliere vulnerability disclosure-platform. Dat laatste is juist bedoeld voor kwetsbaarheden die de bredere securitygemeenschap raken, niet voor incidenten binnen de organisatie zelf. CISA zegt de kanalen te verfijnen.

Het probleem van gelekte secrets op GitHub is allesbehalve uniek aan CISA. GitGuardian meldde twee jaar geleden al een toenemend aantal secrets dat in openbare GitHub-repositories terechtkomt. Uit het State of Secrets Sprawl-rapport 2026 blijkt dat er in 2025 28,65 miljoen nieuwe hardcoded secrets aan publieke GitHub-commits werden toegevoegd, een stijging van 34 procent ten opzichte van het jaar ervoor. In totaal bevatten ruim vier miljoen repositories een secret.

Continu scannen als les

Het draaiboek van CISA voor cyberincidenten bleek geen scenario te bevatten voor situaties met GitHub of andere clouddiensten. Volgens Valadon bevestigt dat de noodzaak om continu te scannen, en niet slechts per kwartaal. GitHub biedt zelf gratis secret scanning voor alle repositories, maar zulke bescherming is uit te schakelen of te omzeilen.

CISA gaf zichzelf op enkele punten wel een voldoende. Uitgebreide logging en de toepassing van zero-trust-principes hielpen de omvang van het lek in kaart te brengen. Volgens het rapport is geen klant- of missiedata blootgesteld en zijn de gelekte inloggegevens niet buiten de omgeving van CISA gebruikt. De contractor die de secrets publiceerde, verloor zijn systeemtoegang.

CISA zegt inmiddels alle secrets te hebben geroteerd en een actieplan te hebben opgesteld om ontwikkelaars-secrets beter te beheren.