--- title: "Administrador da CISA vaza chaves de AWS GovCloud no GitHub" author: "Gabriela P. Torres" date: "2026-05-27 08:00:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2026/05/27/administrador-da-cisa-vaza-chaves-de-aws-govcloud-no-github/md" --- ## Resumo - Repositório “Private-CISA” ficou público de novembro de 2025 a maio de 2026. - Chaves administrativas de três servidores AWS GovCloud foram expostas. - Senhas em texto puro de sistemas internos da CISA também estavam no repositório. - Descoberta por pesquisador da GitGuardian em maio de 2026. - CISA investiga, mas não há indícios de comprometimento de dados. - Chaves permaneceram válidas por 48 horas após notificação. - Contratado trabalhava para a Nightwing. --- Um contratado da CISA manteve por meses um repositório público no GitHub que expôs chaves administrativas de contas AWS GovCloud e senhas em texto puro de sistemas internos da agência. O incidente, reportado originalmente em maio de 2024, revelou que o repositório chamado “Private-CISA” ficava visível desde janeiro de 2024 sem qualquer monitoramento, permitindo que credenciais altamente privilegiadas permanecessem acessíveis a qualquer pessoa até meados daquele ano. A descoberta ocorreu quando Guillaume Valadon, da GitGuardian, sinalizou o problema, levando à desativação da conta e ao início de uma investigação pela própria CISA. ## Como o vazamento aconteceu passo a passo O repositório continha arquivos como “importantAWStokens”, com credenciais administrativas para três servidores Amazon AWS GovCloud, e “AWS-Workspace-Firefox-Passwords.csv”, com nomes de usuário e senhas em texto claro de dezenas de sistemas internos da CISA. Como esses arquivos estavam em um repositório público desde o início de 2024, qualquer desenvolvedor ou atacante poderia tê-los copiado sem deixar rastros óbvios. A CISA afirmou que as chaves permaneceram válidas por mais 48 horas após a notificação, o que significa que o tempo de exposição efetivo ultrapassou o período em que o repositório esteve online. ## Por que o problema não foi detectado antes O funcionário eO funcionário era empregado da Nightwing, empresa contratada pela CISA, e o repositório foi criado em janeiro de 2024. Se não houvesse verificações automáticas de segredos em repositórios públicos, então arquivos com tokens e senhas poderiam ficar expostos indefinidamente. Relatórios da época indicam que o repositório também incluía chaves SSH, tokens de autenticação, logs de implantação e dados de desenvolvimento internos da CISA e do DHS. ## O que muda para quem gerencia credenciais na nuvem A CISA confirmou estar ciente do incidente e investigando, sem indícios de que dados sensíveis tenham sido comprometidos. Na ocasião, a agência demorou a invalidar as credenciais mesmo após o alerta, o que significa que o risco de uso indevido persistiu por quase dois dias adicionais. O caso ilustra que, se ferramentas de escaneamento contínuo não forem adotadas, então vazamentos semelhantes podem ocorrer em qualquer organização que armazene segredos em repositórios versionados.