Un repository GitHub pubblico, battezzato “Private-CISA”, ha esposto credenziali sensibili legate a infrastrutture governative statunitensi, generando un caso che ha messo in forte imbarazzo CISA, la Cybersecurity and Infrastructure Security Agency. Parliamo dell’ente che coordina la difesa informatica federale americana, quello che da anni detta le regole sulla sicurezza digitale a fornitori, amministrazioni e operatori strategici. Eppure, proprio CISA si è ritrovata al centro di uno degli episodi più clamorosi di cattiva gestione dei segreti digitali. Non si tratta di qualche password dimenticata in un file di testo: nel repository erano presenti chiavi cloud, accessi privilegiati e dettagli operativi interni, il tutto accessibile pubblicamente per un periodo che ancora non è stato chiarito con precisione. La cosa pesa il doppio, se non il triplo, proprio perché CISA è nata nel 2018 all’interno del Department of Homeland Security con la missione esplicita di proteggere infrastrutture critiche e reti federali. Negli anni ha lanciato campagne durissime contro l’uso di password deboli, contro l’inserimento di credenziali direttamente nel codice e contro le cattive pratiche DevOps. L’incidente, però, sembra violare esattamente quelle stesse regole che l’agenzia impone abitualmente agli altri.
Credenziali AWS GovCloud esposte: cosa significa davvero
Il repository conteneva informazioni relative ad account AWS GovCloud, cioè l’ambiente Amazon riservato a enti governativi statunitensi e contractor che trattano dati sensibili o classificati. GovCloud funziona su regioni isolate rispetto all’infrastruttura AWS standard e applica requisiti normativi molto più stringenti del solito. Esporre credenziali di questo tipo non equivale a lasciare online una semplice password. Una chiave di AWS IAM, il sistema di gestione degli accessi e dei permessi, se associata a privilegi amministrativi può aprire la strada a bucket S3 per l’archiviazione dati, immagini usate per creare macchine virtuali, snapshot contenenti copie dei volumi di memorizzazione, piattaforme CI/CD per l’automazione del software e secret manager per la gestione di altre credenziali. Le informazioni pubblicate sembravano includere anche dettagli sui processi interni di build e distribuzione software: conoscere l’architettura operativa di un’organizzazione governativa riduce in modo drastico il tempo necessario per preparare attacchi mirati. Il problema, va detto, non è affatto nuovo per GitHub. Lo schema si ripete con una certa regolarità: gli sviluppatori inseriscono temporaneamente una chiave API o una password in file YAML, script Terraform o workflow GitHub Actions. La credenziale finisce in un commit, poi il repository diventa pubblico oppure il dato resta accessibile nella cronologia Git anche dopo la rimozione apparente. GitHub Actions, in particolare, rappresenta uno dei vettori più problematici: workflow CI/CD configurati male possono stampare segreti nei log, esportare token come variabili d’ambiente o propagare credenziali verso fork pubblici.
Un problema enorme che riguarda tutto il settore
Le password in chiaro dentro il codice esistono da sempre: già nei primi anni 2000 i penetration tester trovavano credenziali embedded nei sorgenti Java, PHP o negli script shell. Oggi però la situazione è peggiorata per almeno tre motivi: la velocità di sviluppo è aumentata enormemente, il cloud si è diffuso a macchia d’olio e l’uso di repository condivisi è diventato la norma. Una credenziale inserita direttamente nel codice tende a sopravvivere più del previsto. Secondo GitGuardian, oltre il 60% dei segreti individuati anni fa risultano ancora validi, il che significa che molte organizzazioni scoprono la fuga ma poi non ruotano davvero le chiavi compromesse. Guillaume Valadon di GitGuardian ha definito questa fuga di dati “la peggiore” osservata nella sua carriera. L’affermazione suona forte, ma assume un significato diverso considerando la natura dell’organizzazione coinvolta: quando un ente governativo responsabile della sicurezza nazionale commette un errore del genere, le implicazioni operative e politiche vanno ben oltre il semplice danno reputazionale di un’azienda privata. Nel complesso, GitGuardian ha rilevato quasi 29 milioni di segreti esposti pubblicamente su GitHub nel solo 2025, con una crescita superiore al 30% rispetto all’anno precedente. API key, token OAuth, password, chiavi SSH e credenziali cloud continuano a finire nei repository pubblici a un ritmo che supera la capacità delle organizzazioni di tenere tutto sotto controllo. Molte strutture trattano ancora i repository Git come semplici strumenti di collaborazione, quando in realtà sono diventati archivi operativi critici che spesso contengono l’intera mappa tecnica di un’organizzazione. CISA spinge da tempo sul concetto di Secure by Design e sulla responsabilità dei produttori software: una fuga di credenziali di questa portata rischia di indebolire la credibilità del messaggio pubblico dell’agenzia.
