La agencia estadounidense encargada de proteger la infraestructura digital del país dejó sus propias llaves digitales al alcance de cualquiera durante seis meses. Literalmente.
Un contratista de CISA (Cybersecurity and Infrastructure Security Agency) mantuvo un repositorio público en GitHub llamado “Private-CISA” que contenía credenciales de administrador de AWS GovCloud, contraseñas en texto plano y documentación interna de cómo la agencia construye, prueba y despliega su software.
El hallazgo lo hizo Guillaume Valadon, investigador de GitGuardian, quien lo calificó como “el peor leak que he presenciado en mi carrera”.
¿Qué contenía el repositorio “Private-CISA”?
El archivo tenía más de 844 MB de datos sensibles que incluían:
- Un archivo llamado “importantAWStokens” con credenciales administrativas para tres servidores de AWS GovCloud, el entorno cloud diseñado para cargas de trabajo gubernamentales.
- Un CSV llamado “AWS-Workspace-Firefox-Passwords.csv” con usuarios y contraseñas en texto plano de docenas de sistemas internos de CISA.
- Credenciales del entorno Landing Zone DevSecOps, el sistema de desarrollo seguro de la agencia.
- Acceso al Artifactory interno de CISA, el repositorio de todos los paquetes de código que usa la agencia.
Desactivaron la seguridad a propósito
Los logs de commits muestran que el contratista, empleado de la empresa Nightwing, desactivó intencionalmente la protección antigüedades de GitHub.
La plataforma tiene un sistema que bloquea automáticamente la publicación de claves SSH en repositorios públicos, pero el contratista lo apagó para sincronizar archivos entre su laptop del trabajo y su computadora personal.
Además, muchas contraseñas usaban un patrón predecible: el nombre de la plataforma seguido del año actual. Philippe Caturegli, fundador de Seralys, validó que las credenciales expuestas permitían autenticarse a tres cuentas de AWS GovCloud con privilegios elevados.
Las claves siguieron activas 48 horas después del aviso
Cuando KrebsOnSecurity y Seralys notificaron a CISA, el repositorio se eliminó. Pero las claves de AWS siguieron siendo válidas durante 48 horas más, lo que generó preguntas sobre los protocolos de emergencia de la agencia.
CISA emitió un comunicado asegurando que “no hay indicios de que datos sensibles se hayan visto comprometidos” y que están implementando salvaguardas adicionales.
Lecciones para desarrolladores
Para los equipos de infraestructura y desarrollo, esta noticia refuerza una lección elemental: nunca subir credenciales a repositorios públicos, activar siempre la detección de secretos de GitHub, no usar contraseñas predecibles y rotar credenciales inmediatamente ante cualquier exposición.
Si hasta la agencia de ciberseguridad más importante de Estados Unidos puede cometer este error, cualquiera puede. La diferencia está en tener los protocolos correctos para detectarlo y responder a tiempo.
Fuente: Krebs on Security | Gizmodo