Een ongemakkelijke onthulling voor de Amerikaanse cyber‑bewaker
De Amerikaanse cyberveiligheidsinstantie CISA (Cybersecurity and Infrastructure Security Agency) is recentelijk in opspraak geraakt nadat een onderzoeker een enorme hoeveelheid onversleutelde inloggegevens vond die publiekelijk toegankelijk waren via een GitHub‑repo. De gelekte data bestond uit wachtwoorden, toegangstokens en cryptografische sleutels die nodig zijn om kritieke cloud‑omgevingen en interne systemen van de overheid te betreden.
Hoe het lek tot stand kwam
Volgens de gerapporteerde feiten van de onafhankelijke security‑journalist Brian Krebs heeft de security‑researcher Guillaume Valadon van GitGuardian een reeks spreadsheets ontdekt waarin geheimen in platte tekst stonden. Deze spreadsheets waren per ongeluk gedeeld in een openbaar Git‑repository, beheerd door een medewerker van een CISA‑contractant. De bestanden bevatten onder meer AWS‑sleutels, Azure‑toegangstokens en interne wachtwoorden die rechtstreeks gekoppeld zijn aan het Department of Homeland Security.
De rol van de onderzoeker
Valadon heeft een deel van de gevonden sleutels getest om te verifiëren dat ze daadwerkelijk werkten. Vervolgens heeft hij de ontdekking gerapporteerd aan Krebs, omdat de contractant die het GitHub‑account beheerder niet reageerde op eerdere waarschuwingen. Dankzij deze goede intentie kon CISA op tijd op de hoogte worden gebracht, voordat kwaadwillenden potentieel misbruik hadden kunnen maken van de informatie.
Reactie van CISA
Een woordvoerder van CISA, Marco DiSandro, bevestigde dat de instantie op de hoogte is van de melding en dat er een intern onderzoek loopt. Op dit moment is er geen indicatie dat er daadwerkelijk aangetaste data is gecompromitteerd, maar de organisatie heeft nog geen formele verklaring gegeven over het intrekken of roteren van de gelekte credentials.
Waarom dit incident extra pijnlijk is
CISA heeft als taak de cyber‑veiligheid van de civiele federale netwerken te bewaken en beveelt best practices aan, zoals het gebruik van wachtwoord‑managers en het vermijden van onbeschermde spreadsheets. Het feit dat een eigen contractant deze basisprincipes heeft genegeerd, ondermijnt het vertrouwen in de capaciteit van de overheid om haar digitale infrastructuur te beschermen. Bovendien bevindt CISA zich in een kwetsbare fase: sinds januari 2025 is er geen permanente directeur, en een derde van de personeelsmacht is weggevallen door bezuinigingen en ontslagen.
Gevolgen en lessen voor de toekomst
Dit voorval benadrukt hoe cruciaal het is om derde‑partij leveranciers strikt te monitoren en zero‑trust‑principes toe te passen, zelfs binnen de eigen muren van een overheidsinstantie. Het incident kan dienen als wake‑up‑call voor zowel publieke als private organisaties: nooit vertrouw op onveilige opslagmethoden, en voer periodieke audits uit op alle cloud‑configuraties en repository‑rechten.
Terwijl CISA de volledige impact onderzoekt, blijft de cybersecurity‑gemeenschap alert op soortgelijke fouten. Het incident illustreert dat zelfs de meest gespecialiseerde agentschappen kwetsbaar blijven voor simpele, vaak vermijdbare menselijke fouten.
