Kredensial Rahasia CISA Ditemukan di Repositori GitHub Publik
Judul asli: In stunning display of stupid, secret CISA credentials found in public GitHub repo
Mengapa Ini Penting
Kebocoran ini mengekspos infrastruktur keamanan siber AS dan menunjukkan kerentanan dalam praktik keamanan pemerintah.
Agensi Keamanan Siber AS CISA mengalami kebocoran data sensitif di GitHub sejak November 2025, termasuk password plaintext dan kunci SSH pribadi yang dapat diakses publik.
Peneliti keamanan Brian Krebs melaporkan bahwa Cybersecurity & Infrastructure Agency (CISA) AS memiliki repositori GitHub publik bernama 'Private-CISA' yang berisi password plaintext, kunci SSH pribadi, token, dan aset sensitif CISA lainnya sejak November 2025. Guillaume Valadon dari GitGuardian menemukan repositori tersebut melalui pemindaian kode publik. Philippe Caturegli dari Seralys berhasil menggunakan kredensial tersebut untuk mengakses beberapa akun Amazon Web Services GovCloud dengan level privilege tinggi. Repositori tersebut dikelola oleh Nightwing, kontraktor CISA berbasis Virginia. Log commit menunjukkan administrator repositori menonaktifkan proteksi default GitHub yang mencegah commit secrets.