Passwörter auf Github geleakt: Peinliche Datenpanne bei US-Cyberbehörde Cisa
Ein Dienstleister der US-amerikanischen Cybersicherheitsbehörde Cisa (Cybersecurity and Infrastructure Security Agency) hat offenbar unbeabsichtigt teils höchst vertrauliche interne Daten wie Passwörter, Tokens, private Schlüssel und Saml-Zertifikate öffentlich auf Github zur Verfügung gestellt. Das berichtet der Security-Reporter Brian Krebs(öffnet im neuen Fenster) unter Verweis auf Untersuchungen von Gitguardian.
Geleakt wurden die Daten den Angaben zufolge in einem öffentlichen Github-Repository namens Private-Cisa. Dieses soll interne Daten im Umfang von 844 MByte enthalten haben, darunter Klartextpasswörter, private Schlüssel, Github- und AWS-Tokens, Skripte, Infrastrukturdaten, Build-Logs, Dokumentationen und Backups.
"Zunächst hielten wir es für einen Streich, da die Verzeichnisnamen, Dateinamen und deren Inhalte so verdächtig wirkten, dass sie einfach zu gut waren, um wahr zu sein", heißt es in einem Blogbeitrag von Gitguardian(öffnet im neuen Fenster). Als Beispiele werden unter anderem Verzeichnisnamen wie "All Backups" und Dateinamen wie "Important AWS Tokens.txt" oder "AWS-Workspace-Firefox-Passwords.csv" genannt.
"Ein Sammelsurium unsicherer Praktiken"
Bei näherer Betrachtung stellten die Gitguardian-Forscher jedoch fest, dass die Daten echt waren. "Persönliche Dokumente, Hostnamen und die sorgfältige Organisation der Dateien ließen uns umdenken", schreiben sie in ihrem Blog. Sie bezeichnen das öffentliche Repository als "ein Sammelsurium unsicherer Praktiken". Es habe sogar Anweisungen enthalten, die nach Anmeldedaten suchende Secret-Scanning-Funktion(öffnet im neuen Fenster) von Github zu deaktivieren, welche bei dem ein oder anderen Datensatz sicherlich Alarm geschlagen hätte.
Erstmals auf Github aufgetaucht waren die Daten den Angaben zufolge am 13. November 2025. Erst ein halbes Jahr später, am 14. Mai 2026, wurde es von Gitguardian entdeckt und gemeldet. Nach Kontaktaufnahmeversuchen über mehrere Kanäle erreichten die Forscher die Cisa am nächsten Tag, woraufhin die Behörde das Repository zügig offline nahm.
Die Cisa bestätigte Brian Krebs den Vorfall und versicherte, die Situation weiter zu untersuchen. Anzeichen für eine Kompromittierung vertraulicher Daten gebe es jedoch bisher nicht. Zudem arbeite die Behörde daran, zusätzliche Sicherheitsvorkehrungen zu treffen, um Vorfälle dieser Art in Zukunft zu verhindern. Ob böswillige Akteure Daten aus dem Repository abgerufen haben, bevor es vom Netz genommen wurde, ist bisher nicht bekannt.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.