844 megabyte. Så mye intern CISA-data lå i et offentlig GitHub-repo kalt «Private CISA», ifølge postmortem-rapporten byrået nå har publisert og som KrebsOnSecurity gjennomgikk. En av filene het «importantAWStokens» og inneholdt administrator-legitimasjon til tre AWS GovCloud-servere. En annen, «AWS-Workspace-Firefox-Passwords.csv», listet brukernavn og passord i klartekst til dusinvis av interne systemer. Det var en underleverandør som la dem der.
Hemmelighetene lå aldri skjult for skannerne. GitGuardian gjennomsøker offentlige kodelagre kontinuerlig og sendte ni automatiske varsler til kontoen som eksponerte dem. Ingen ble besvart. Først da GitGuardian-forskeren Guillaume Valadon kontaktet KrebsOnSecurity 15. mai 2026, kom det reaksjon. Da hadde repoet ligget åpent i nesten seks måneder, og CISA brukte over 48 timer på å ugyldiggjøre AWS-nøklene etter at varselet omsider nådde fram.
«Å la ni varsler stå ubesvart er hvordan en endagshendelse blir en seks måneders eksponering.» — Guillaume Valadon, sikkerhetsforsker i GitGuardian
CISA peker på det samme selv. Rapporten, skrevet av fungerende IT-direktør Preston Werntz og fungerende sikkerhetssjef Brad Libbey, innrømmer at byrået manglet en tydelig kanal for å motta rapporter om lekkasjer i sin egen infrastruktur. Valadon prøvde flere veier: e-post til underleverandøren, CISAs plattform for sårbarhetsrapportering (som er ment for sårbarheter i den bredere sikkerhetsbransjen), og til slutt en journalist. Byrået hadde en playbook for hendelseshåndtering, men den dekket ikke GitHub eller andre skytjenester.
«Med denne erfaringen oppfordrer CISA andre til å ha modne og godt testede rutiner for nøkkelhåndtering.» — CISA, postmortem-rapporten
Det som faktisk virket, var infrastrukturen rundt. CISA hadde utvidet logging og zero trust-prinsipper i både produksjon og utviklingsmiljø, og loggene gjorde at byrået kunne dokumentere at ingen kunde- eller oppdragsdata ble eksponert, og at de lekkede nøklene aldri ble brukt utenfor CISAs egne systemer. Underleverandøren fikk tilgangen inndratt. Hullene var de kjedelige: kontinuerlig skanning av offentlige repoer, en innboks noen faktisk leser, og nøkkelrotasjon som går på minutter i stedet for døgn.
Valadon mener rapporten i seg selv er det viktigste her, og at det er første gang et nasjonalt sikkerhetsbyrå offentlig tar til orde for hemmelighetsskanning og for å gjøre det enklere å være sikkerhetsforsker som varsler.
Hva bør du gjøre?
- Slå på hemmelighetsskanning i repoene dine. Gitleaks og GitHub Secret Scanning er gratis for offentlige repoer, og som pre-commit-hook stopper de nøkkelen før den blir en commit du må rotere deg ut av.
- Publiser en security.txt, og legg kontaktpunktet flere steder enn der. Poenget til Valadon er at en rapport om din egen infrastruktur ikke må havne i køen for produktfeil.
- Test hvor lang tid du faktisk bruker på å rotere en skynøkkel. CISA antok at det gikk raskt, og trengte over 48 timer da det gjaldt.