A agência de segurança cibernética dos EUA, CISA, pode ter escapado a uma violação de segurança considerável, graças a um investigador de segurança de boa-fé que identificou credenciais expostas publicamente que permitiam o acesso à nuvem governamental e aos sistemas internos da agência.
Conforme relatado pela primeira vez pelo repórter de segurança independente Brian Krebs, o pesquisador de segurança do GitGuardian, Guillaume Valadon, encontrou resmas de credenciais de texto simples expostas listadas em planilhas, que foram disponibilizadas publicamente em um repositório GitHub por um funcionário que trabalhava para um contratado CISA.
Valadon disse a Krebs que as credenciais expostas foram usadas para acessar sistemas pertencentes à CISA e à sua agência controladora, o Departamento de Segurança Interna. Valadon disse que as credenciais incluíam tokens de acesso, chaves de nuvem e outros arquivos confidenciais. Valadon disse a Krebs que testou algumas das chaves para verificar se eram válidas.
Ele então relatou o lapso a Krebs porque o contratante CISA que mantinha o ambiente GitHub não respondeu aos seus alertas.
A falha de segurança é particularmente embaraçosa para a CISA porque a agência governamental dos EUA é responsável pela segurança cibernética em toda a rede federal civil. A organização também orienta sobre as melhores práticas de segurança cibernética, que inclui o armazenamento de senhas em gerenciadores de senhas seguros e não em planilhas desprotegidas.
Não está claro se alguém encontrou ou usou outras credenciais além de Valadon. Quando contatado pelo TechCrunch, um porta-voz da CISA não comentou imediatamente ou disse se a agência tem alguma evidência de violação decorrente desta exposição. O TechCrunch perguntou se a agência revogou e substituiu as credenciais expostas após o incidente.
Embora o incidente tenha sido rastreado até um funcionário que trabalhava para um contratante da CISA, a CISA é, em última instância, responsável pela segurança da sua própria rede e sistemas, incluindo os contratantes que trabalham para a agência.
A CISA está sem um diretor permanente desde 20 de janeiro de 2025, quando a então diretora da CISA, Jen Easterly, deixou o cargo antes do início da próxima administração Trump. A CISA também perdeu cerca de um terço da sua força de trabalho após cortes, licenças e demissões desde que Trump assumiu o cargo.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
