Η υπηρεσία κυβερνοασφάλειας των ΗΠΑ άφησε κωδικούς και κλειδιά AWS ανοιχτά στο GitHub για έξι μήνες

Ανάδοχος της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) των ΗΠΑ διατηρούσε δημόσιο repository στο GitHub που εξέθετε διαπιστευτήρια για πολλαπλούς λογαριασμούς AWS GovCloud υψηλών προνομίων, καθώς και μεγάλο αριθμό εσωτερικών συστημάτων της CISA. Σύμφωνα με ειδικούς ασφαλείας, το δημόσιο αρχείο περιελάμβανε αρχεία που περιγράφουν τον τρόπο με τον οποίο η CISA κατασκευάζει, δοκιμάζει και αναπτύσσει λογισμικό εσωτερικά — και χαρακτηρίζεται ως μία από τις πλέον σοβαρές διαρροές κυβερνητικών δεδομένων στην πρόσφατη ιστορία.

Το repo «Private-CISA» και τι περιείχε

Το δημόσιο repository, που είχε δημιουργηθεί από ανάδοχο της CISA και έφερε την ειρωνική ονομασία «Private-CISA», περιείχε 844 MB ευαίσθητων δεδομένων: διαπιστευτήρια διαχειριστή για λογαριασμούς AWS GovCloud, αρχεία καταγραφής CI/CD, Kubernetes manifests και εσωτερική τεκμηρίωση. Το repository δημιουργήθηκε στις 13 Νοεμβρίου 2025 και παρέμεινε ανοιχτό για περίπου έξι μήνες, έως ότου η εταιρεία ανίχνευσης μυστικών GitGuardian το εντόπισε στις 14 Μαΐου 2026.

Η λεπτομέρεια που κάνει την υπόθεση ακόμα πιο ανησυχητική είναι το περιεχόμενο των αρχείων. Ένα αρχείο με την ονομασία «importantAWStokens» περιείχε διαπιστευτήρια διαχειριστή για τρεις διακομιστές AWS GovCloud, ενώ ένα άλλο — «AWS-Workspace-Firefox-Passwords.csv» — περιείχε ονόματα χρηστών και κωδικούς σε plaintext για δεκάδες εσωτερικά συστήματα της CISA, μεταξύ των οποίων πρόσβαση στο περιβάλλον LZ-DSO (Landing Zone DevSecOps), στο Artifactory (εσωτερικό αποθετήριο πακέτων κώδικα), ενώ πολλοί κωδικοί ακολουθούσαν τον εύκολα εικαζόμενο τύπο [όνομα πλατφόρμας][τρέχον έτος].

Ενεργή απενεργοποίηση της προστασίας του GitHub

Η ανάλυση των αρχείων καταγραφής (commit logs) αποκάλυψε ότι ο ανάδοχος είχε απενεργοποιήσει σκόπιμα την ενσωματωμένη δυνατότητα ανίχνευσης μυστικών (secret scanning) του GitHub — δυνατότητα που έχει σχεδιαστεί ακριβώς για να εμποδίζει τη δημοσίευση SSH κλειδιών ή ευαίσθητων διαπιστευτηρίων σε δημόσια repositories. Ο Guillaume Valadon της GitGuardian, ο οποίος εντόπισε το πρόβλημα και στη συνέχεια επικοινώνησε με τον ερευνητή Brian Krebs αφού δεν έλαβε καμία απάντηση από τον ιδιοκτήτη του λογαριασμού, χαρακτήρισε την κατάσταση ως «τη χειρότερη διαρροή που έχω δει στην καριέρα μου».

Ο Philippe Caturegli, ιδρυτής της Seralys, επιβεβαίωσε ότι τα εκτεθειμένα διαπιστευτήρια παρείχαν πρόσβαση σε τρεις λογαριασμούς AWS GovCloud σε υψηλό επίπεδο προνομίων. Το AWS GovCloud είναι το νεφοϋπολογιστικό περιβάλλον της Amazon που έχει σχεδιαστεί ειδικά για τον χειρισμό ευαίσθητων κυβερνητικών δεδομένων των ΗΠΑ.

Κίνδυνος εφοδιαστικής αλυσίδας λογισμικού

Ειδικοί ασφαλείας επεσήμαναν ότι η πρόσβαση στο Artifactory αποτελεί τον πλέον επικίνδυνο μακροπρόθεσμο φορέα απειλής: ένα παραβιασμένο αποθετήριο πακέτων λογισμικού θα μπορούσε να επιτρέψει σε επιτιθέμενους να εισάγουν κακόβουλο κώδικα στην αλυσίδα κατασκευής λογισμικού της CISA, εξασφαλίζοντας μόνιμη πρόσβαση με κάθε νέα ανάπτυξη λογισμικού.

Το γεγονός ότι το repository ανάδοχου περιείχε αναφορές στο εσωτερικό περιβάλλον κατασκευής λογισμικού της CISA παραπέμπει στον τύπο κινδύνου εφοδιαστικής αλυσίδας που η ίδια η υπηρεσία έχει ξοδέψει χρόνια για να αντιμετωπίσει — κυρίως στον απόηχο της επίθεσης SolarWinds το 2020.

Ο ανάδοχος, η Nightwing και η αντίδραση της CISA

Το repository «Private-CISA» διατηρείτο από ανάδοχο που συνδέεται με την εταιρεία κυβερνητικών υπηρεσιών Nightwing. Ο λογαριασμός στο GitHub ήταν ενεργός από το 2018, ενώ το συγκεκριμένο repository «Private-CISA» δημιουργήθηκε τον Νοέμβριο του 2025. Σύμφωνα με μία ερμηνεία του ρεπορτάζ του Krebs, ο ανάδοχος χρησιμοποιούσε το GitHub ως μηχανισμό συγχρονισμού υλικού μεταξύ της εργασιακής και της οικιακής του συσκευής — κάτι παρόμοιο με το να στέλνει κανείς έγγραφα στον εαυτό του μέσω email, αλλά με ακόμα λιγότερη ασφάλεια.

Το repository τέθηκε εκτός σύνδεσης αφού η KrebsOnSecurity και η Seralys ειδοποίησαν την CISA· ωστόσο, τα εκτεθειμένα κλειδιά AWS παρέμειναν ενεργά για επιπλέον 48 ώρες μετά την κατάργησή του, εγείροντας σοβαρά ερωτήματα για τις διαδικασίες ανάκλησης διαπιστευτηρίων της CISA. Η Nightwing αρνήθηκε να σχολιάσει και ανακατεύθυνε όλες τις ερωτήσεις στη CISA.

Εκπρόσωπος της CISA δήλωσε: «Επί του παρόντος, δεν υπάρχει ένδειξη ότι ευαίσθητα δεδομένα παραβιάστηκαν ως αποτέλεσμα αυτού του περιστατικού. Εργαζόμαστε για να διασφαλίσουμε την εφαρμογή πρόσθετων μέτρων ασφαλείας που θα αποτρέψουν μελλοντικές εμφανίσεις.»

Το ευρύτερο πλαίσιο: περικοπές και αποδυνάμωση

Το περιστατικό εγείρει ανησυχίες για τους εσωτερικούς ελέγχους ασφαλείας, ιδίως λαμβάνοντας υπόψη τις πρόσφατες μειώσεις προσωπικού εντός της υπηρεσίας. Σύμφωνα με αναφορές, η CISA έχει χάσει σχεδόν το ένα τρίτο του εργατικού της δυναμικού. Συγκεκριμένα, σύμφωνα με την KrebsOnSecurity, ο αριθμός των εργαζομένων μειώθηκε από περίπου 3.400 σε περίπου 2.400 από την έναρξη της δεύτερης διακυβέρνησης Trump.

Ακόμα κι αν ο ανάδοχος έφταιξε με εξαιρετικά σοβαρό τρόπο, αυτό σημαίνει επίσης ότι υπήρξε ολική αποτυχία εποπτείας και παρακολούθησης. Όπως μια τράπεζα δεν εμπιστεύεται κάθε ταμία να είναι αλάνθαστος, έτσι θα έπρεπε να υπάρχουν μηχανισμοί ελέγχου στο GitHub και στις υπηρεσίες που να αποτρέπουν μακράς διάρκειας διαπιστευτήρια, να επιβάλλουν ισχυρούς κωδικούς και να αποτρέπουν την επαναχρησιμοποίησή τους.

Πηγές

• KrebsOnSecurity: CISA Admin Leaked AWS GovCloud Keys on Github
• Ars Technica: In stunning display of stupid, secret CISA credentials found in public GitHub repo
• CybersecurityNews: CISA Admin Exposes AWS GovCloud Credentials on Public GitHub Repository
• CyberPress: CISA Admin Exposes AWS GovCloud Credentials on GitHub