O incidente de segurança governamental
Um grave incidente de segurança da informação expôs credenciais administrativas críticas do AWS GovCloud, ambiente de nuvem projetado para cargas de trabalho sensíveis do governo dos Estados Unidos. A falha foi identificada em um repositório público do GitHub, denominado “Private-CISA”, que continha senhas em texto plano, tokens de API e detalhes de sistemas internos. O vazamento foi descoberto por pesquisadores de segurança e posteriormente reportado pela KrebsOnSecurity, revelando que um contratante da empresa Nightwing, parceira da CISA, havia publicado inadvertidamente dados sensíveis.
A exposição ocorreu em um momento delicado para a agência, que enfrenta cortes orçamentários e reestruturações que podem ter impactado as práticas operacionais de segurança. Embora a CISA tenha confirmado que não há evidências de exploração ativa no momento, a janela de risco permaneceu aberta por quase 48 horas após a descoberta, permitindo que credenciais válidas permanecessem acessíveis.
Detalhes da exposição e escopo
O repositório comprometido continha credenciais administrativas para pelo menos três ambientes AWS GovCloud. Além disso, um arquivo chamado “AWS-Workspace-Firefox-Passwords.csv” expôs dezenas de nomes de usuário e senhas em texto plano vinculados a sistemas internos da CISA, incluindo um ambiente DevSecOps conhecido como “LZ-DSO”. A análise também revelou credenciais para o “artifactory” interno da agência, um sistema centralizado para armazenamento e distribuição de componentes de software.
A presença de credenciais no artifactory representa um risco de cadeia de suprimentos significativo. Se um ator malicioso comprometesse esse repositório, poderia inserir código malicioso em atualizações de software legítimas, afetando múltiplos sistemas durante a implantação. A segurança do repositório era precária: dados sensíveis estavam armazenados em texto plano e as proteções de varredura de segredos do GitHub haviam sido desativadas deliberadamente.
Riscos de supply chain e infraestrutura
O comprometimento do artifactory interno da CISA eleva o nível de preocupação para a segurança nacional e corporativa. A capacidade de injetar backdoors em atualizações de software permite que atacantes mantenham acesso persistente e silencioso a redes governamentais. Isso se alinha com táticas de ataque de cadeia de suprimentos observadas em incidentes anteriores, onde a confiança em atualizações legítimas é explorada para disseminar malware.
Além disso, o uso do repositório como ferramenta de sincronização de arquivos entre ambientes de trabalho e domésticos, conforme sugerido pelos logs de commit, indica uma falha de governança de acesso. A prática de sincronizar dados sensíveis entre máquinas não seguras viola princípios básicos de segurança de dados e aumenta a superfície de ataque.
Resposta da CISA e implicações operacionais
A CISA reconheceu o incidente e informou que está investigando ativamente. A agência enfatizou que medidas adicionais de salvaguarda estão sendo implementadas. No entanto, a exposição ocorre em um período de pressão operacional, com relatos de perda significativa de força de trabalho devido a cortes orçamentários. Especialistas em segurança alertam que tais pressões aumentam a probabilidade de erros humanos e configurações incorretas.
O administrador responsável pelo repositório estava vinculado a um contratante da Nightwing, uma empresa de serviços governamentais dos Estados Unidos. A conta havia sido ativa desde 2018, enquanto o repositório “Private-CISA” foi criado em novembro de 2025. Apesar de o repositório ter sido retirado do ar pouco após a divulgação, as credenciais do AWS permaneceram válidas por quase 48 horas, ampliando a janela de risco potencial.
Lições para CISOs e governança de segurança
Este incidente destaca a importância crítica da gestão de credenciais e das práticas de desenvolvimento seguro. Mesmo ambientes altamente sensíveis podem ser comprometidos por erros básicos, como má gestão de credenciais e práticas de desenvolvimento inseguras. Para executivos de segurança, a lição é clara: a segurança não pode depender apenas da confiança em processos manuais ou na boa vontade de contratantes.
A desativação das proteções de varredura de segredos do GitHub sugere uma falha intencional ou negligente nos controles de segurança. Organizações devem revisar rigorosamente os repositórios de código-fonte, garantindo que ferramentas de detecção de segredos estejam ativas e que o acesso a repositórios públicos seja estritamente controlado. A segmentação de ambientes e o princípio do menor privilégio são essenciais para mitigar o impacto de tais vazamentos.
Medidas de mitigação recomendadas
Para proteger suas organizações contra riscos semelhantes, os CISOs devem implementar as seguintes medidas:
- Varredura contínua de segredos: Implemente ferramentas automatizadas que varrem repositórios de código em busca de credenciais expostas, garantindo que não sejam desativadas.
- Gestão de identidade e acesso: Revise e rotacione credenciais de acesso a ambientes críticos, especialmente após incidentes de vazamento.
- Controle de acesso a repositórios: Restrinja o acesso a repositórios públicos e monitore atividades de commit em projetos sensíveis.
- Segmentação de rede: Garanta que ambientes de desenvolvimento e produção estejam segregados para limitar o impacto de um comprometimento.
- Monitoramento de comportamento: Utilize soluções de detecção de ameaças para identificar atividades anômalas, como acesso a sistemas de armazenamento de software.
Perguntas frequentes
As credenciais expostas ainda estão válidas?
As credenciais permaneceram válidas por quase 48 horas após a descoberta. A CISA recomenda a rotação imediata de todas as credenciais associadas aos ambientes afetados.
Qual o impacto para o Brasil?
Embora o incidente seja dos Estados Unidos, empresas brasileiras que utilizam serviços da AWS GovCloud ou que possuem contratos com a CISA devem monitorar comunicações oficiais e revisar suas próprias práticas de segurança de credenciais.
Como evitar vazamentos similares?
A implementação de políticas de segurança de código, treinamento de conscientização para contratantes e o uso de ferramentas de segurança automatizadas são fundamentais para prevenir exposições acidentais.