Co agentura CISA udělala?
Americká agentura CISA (Cybersecurity and Infrastructure Security Agency) je odpovědná za ochranu kritické infrastruktury Spojených států. Nyní se ocitla v krajně nepříjemné situaci. Výzkumníci ze společnosti GitGuardian v polovině května letošního roku objevili na GitHubu veřejně přístupný repozitář obsahující stovky megabajtů citlivých interních dat.
Repozitář byl veřejně dostupný přibližně 183 dní, tedy téměř půl roku. Byl vytvořen 13. listopadu 2025, a to zaměstnancem dodavatele Nightwing, soukromé firmy poskytující technologické služby americké vládě se sídlem ve Virginii. Název repozitáře? „Private-CISA“. Zní to jako ironie, ale je to krutá realita.
Zdroj: Krebson security
Zdroj: Krebson security
Jaká data z CISA unikla?
Obsah repozitáře byl, mírně řečeno, alarmující. Celkový objem dat čítal 844 MB a zahrnoval:
- Přihlašovací údaje pro tři Amazon AWS GovCloud účty s administrátorskými oprávněními
- Hesla v textové podobě k desítkám interních systémů CISA a DHS uložená v CSV souboru (konkrétně v souboru nazvaném „AWS-Workspace-Firefox-Passwords.csv“)
- Privátní SSH klíče
- GitHub tokeny (osobní i firemní)
- Konfigurační soubory Kubernetes
- Terraform infrastrukturní kód
- SAML podpisové certifikáty pro podnikové aplikace
- Zálohy interní dokumentace včetně OneNote exportů a CI/CD logy s dokumentací nasazování systémů.
To ale není vše. Zvláštní pozornost si zaslouží soubor pojmenovaný jednoduše „importantAWStokens“, který obsahoval administrátorské přístupy ke třem cloudovým prostředím AWS GovCloud, tedy vládním účtům určeným pro citlivá data.
Součástí repozitáře byl také návod, jak vypnout automatické skenování tajných klíčů na GitHubu, a tato funkce byla skutečně deaktivována.
Mohlo by vás zajímat
Hesla jako z učebnice špatných praktik
Bezpečnostní konzultant Philippe Caturegli ze společnosti Seralys, který autentičnost úniku nezávisle ověřil, popis obsahu shrnul jako učebnicový příklad toho, jak se věci nemají dělat. Hesla byla uložena v plain textu, zálohy byly uloženy přímo do Gitu a část přihlašovacích údajů využívala vzorec, který si bezpečnostní komunita dlouhodobě dává za příklad tristní praxe: název platformy plus aktuální rok.
Caturegli se dále domníval, že dotyčný dodavatel repozitář pravděpodobně používal jako nástroj pro synchronizaci souborů mezi pracovním laptopem a domácím počítačem, podobně jako někdo posílá dokumenty sám sobě e-mailem, jen podstatně nebezpečněji.
Logy ukázaly ještě jeden varovný detail: autor používal pro uložení změn do repozitáře kombinaci firemního e-mailu od CISA a osobního e-mailového účtu na Yahoo. Takový smíšený přístup patří k situacím, které bezpečnostní týmy nejhůř hlídají, a zároveň k těm, kde nejčastěji dochází k vážným únikům.
Mohlo by vás zajímat
Riziko pro celý softwarový dodavatelský řetězec
Únik nekompromitoval jen přihlašovací údaje. Mezi exponovanými daty byly přístupy do interního Artifactory CISA, tedy do repozitáře softwarových balíčků, ze kterých agentura sestavuje a nasazuje vlastní software.
Získání přístupu do Artifactory by teoreticky umožnilo útočníkovi vložit škodlivý kód do softwarových balíčků. Každé nové sestavení aplikace by pak tento kód automaticky nasadilo do produkčních systémů. Jde o klasický scénář útoku na softwarový dodavatelský řetězec, který v minulých letech proslavily například kauzy SolarWinds nebo 3CX.
Jak byl problém odhalen a odstraněn?
GitGuardian provozuje automatizovaný systém pro sledování veřejných repozitářů. Systém detekoval problematický repozitář a mezi 13. a 14. květnem 2026 odeslal autorovi devět automatických e-mailových upozornění. Na žádné z nich nepřišla odpověď.
Výzkumník Guillaume Valadon, který se problematikou úniků tajných klíčů profesionálně zabývá a dříve devět let pracoval ve francouzském ekvivalentu CISA, tedy v agentuře ANSSI, incident nahlásil přes portál CERT/CC 14. května odpoledne.
Protože se do rána dalšího dne nedočkal jiné než automatické odpovědi, kontaktoval bezpečnostního novináře Briana Krebse, jehož přímé kontakty na CISA situaci urychlily.
Odpoledne 15. května se tým GitGuardianu dostal do CISA přímo a repozitář byl téhož dne večer odstraněn. Celý proces od veřejné eskalace po odstranění trval přibližně 26 hodin. Přesto AWS klíče zůstaly aktivní ještě dalších 48 hodin po odstranění repozitáře, než byly konečně zneplatněny. Tato prodleva při revokaci přihlašovacích údajů je sama o sobě bezpečnostním selháním.
Reakce CISA a důsledky
CISA v reakci na dotazy médií uvedla, že o incidentu ví, situaci vyšetřuje a nebyly nalezeny žádné důkazy o zneužití dat. Agentura také přislíbila implementaci dalších bezpečnostních opatření. Incident přišel v době, kdy CISA čelí výrazným institucionálním tlakům.
Od začátku druhé Trumpovy administrativy agentura přišla přibližně o třetinu pracovníků v důsledku odchodů, předčasných důchodů a škrtů. Nemá ani stálého ředitele, protože dosavadní dočasní šéfové nebyli potvrzeni Senátem. Navíc se potýká s návrhy na výrazné snížení rozpočtu.
Případ není ani prvním bezpečnostním selháním CISA v posledních měsících. V lednu 2026 tehdejší dočasný ředitel agentury nahrál citlivé vládní dokumenty do chatbota ChatGPT poté, co si sám sobě udělil výjimku z vlastní politiky zakazující používání tohoto nástroje.
Mohlo by vás zajímat
Ironii situace nelze přehlédnout. Instituce, jejímž posláním je vzdělávat veřejný i soukromý sektor v oblasti kybernetické bezpečnosti a chránit americkou vládní infrastrukturu před kybernetickými hrozbami, se provinila prakticky každou chybou, před kterou sama varuje.
Hesla v textové podobě, zálohy v Gitu, vypnuté bezpečnostní funkce, nedodržování politik hesel, používání veřejného repozitáře jako osobního synchronizačního nástroje a pomalá reakce na nahlášený problém.
Každá z těchto chyb by sama o sobě byla nepříjemná. Dohromady tvoří katalog selhání, který bude sloužit jako odstrašující příklad ve výukových materiálech po mnoho let.
Zdroj: GitGuardian, Krebs on Security, The Register, TechRadar, Ars Technica
