Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una fuga dati della CISA ha esposto pubblicamente un repository GitHub contenente password in chiaro, token AWS, chiavi SSH private e configurazioni interne dell'infrastruttura dell'agenzia. La scoperta, avvenuta durante una scansione automatizzata di GitHub, solleva dubbi sulle pratiche di sicurezza adottate e sui controlli disabilitati. L'incidente è rilevante perché potrebbe aver creato un punto di accesso per attacchi persistenti, ransomware e compromissioni della supply chain.
I ricercatori hanno scoperto che la Cybersecurity and Infrastructure Security Agency (CISA) statunitense aveva lasciato aperto un repository GitHub contenente un’enorme quantità di dati sensibili. Il repository includeva password in chiaro, chiavi SSH private, token AWS, configurazioni Kubernetes, codice Terraform, certificati Entra ID e altri segreti relativi all’infrastruttura interna dell’agenzia.
Il repository, opportunamente denominato Private-CISA, era accessibile pubblicamente almeno dal novembre 2025. Il problema è stato segnalato per la prima volta dal ricercatore di GitGuardian Guillaume Valadon, che ha scoperto la fuga di dati durante una scansione automatizzata di GitHub. Secondo lui, il repository conteneva circa 844 MB di materiale relativo all’infrastruttura CISA.
Inizialmente, Valadon pensò di aver scoperto un depistaggio, poiché i nomi delle directory sembravano sospetti. Ad esempio, “All Backups”, “Kubernetes-Important-Yaml-Files” o “ENTRA ID – SAML Certificates”. Anche i nomi dei file erano altrettanto eloquenti: “Important AWS Tokens.txt”, “AWS-Workspace-Firefox-Passwords.csv”, “Kube-Config.txt” e “external-secret-repo-creds.yaml”.
Tuttavia, la verifica ha rivelato che i dati erano autentici.
Il fondatore di Seralys, Philippe Caturegli, ha riferito di essere riuscito a utilizzare le credenziali scoperte per accedere a diversi account AWS GovCloud con privilegi elevati.
Secondo il noto giornalista specializzato in sicurezza informatica Brian Krebs, il repository era probabilmente gestito da Nightwing, un’azienda appaltatrice della CISA. I log delle transazioni indicano che i meccanismi integrati di GitHub per il rilevamento di segreti erano disabilitati nel repository. Ciò suggerisce che le protezioni destinate a prevenire tali fughe di dati siano state disattivate manualmente.
Valadon scrive di aver inizialmente tentato di segnalare la violazione alla CISA tramite CERT/CC, ma di aver ricevuto solo una risposta automatica. Ha quindi contattato Brian Krebs e poco dopo il repository è diventato non disponibile.
I rappresentanti della CISA hanno confermato ai media di aver avviato un’indagine sull’incidente, ma hanno dichiarato di non aver ancora trovato alcuna prova di violazione dei dati. Anche GitGuardian ha sottolineato di non essere a conoscenza di alcun uso improprio delle chiavi e dei token trapelati accidentalmente.
I ricercatori sottolineano che il problema va oltre la semplice pubblicazione di segreti. Il repository era una vera e propria concentrazione di pratiche non sicure: password in chiaro, backup Git, chiavi private e disattivazione della protezione integrata di GitHub contro le fughe di dati. Inoltre, i commit al repository venivano effettuati simultaneamente dall’indirizzo email di un collaboratore esterno della CISA e da un account Yahoo personale, e il repository stesso era stato creato utilizzando un account GitHub personale.
Secondo Valadon, la combinazione di questi fattori ha aperto la porta a una vasta gamma di attacchi, dalle operazioni ransomware all’infiltrazione occulta nell’infrastruttura CI/CD dell’agenzia. Il ricercatore era particolarmente preoccupato dalla possibilità che gli aggressori a lungo termine persistessero nella catena di sviluppo e amministrazione della CISA.
È opportuno sottolineare che questo non è il primo incidente di alto profilo in materia di sicurezza informatica che coinvolge la CISA negli ultimi tempi. Nel gennaio 2026, il direttore ad interim della CISA, Madhu Gottumukkala, caricò documenti governativi interni su ChatGPT . Gottumukkala fu sospeso dal suo incarico nel febbraio 2026.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]