Een onverwachte ontdekking in de publieke cloud
Een onderzoeker van GitGuardian, Guillaume Valadon, stuitte vorige maand op een schokkende hoeveelheid onversleutelde inloggegevens die openlijk beschikbaar waren in een GitHub‑repo. De spreadsheets, die per ongeluk door een medewerker van een externe aannemer van CISA waren geüpload, bevatten toegangstokens, cloud‑sleutels en andere gevoelige bestanden. Deze gegevens boden direct toegang tot interne systemen van CISA en de bredere moederorganisatie, het Department of Homeland Security.
Hoe de fout aan het licht kwam
Valadon testte een aantal van de gelekte sleutels om te bevestigen dat ze werkten. Nadat hij de functionaliteit kon aantonen, meldde hij de kwetsbaarheid aan de security‑journalist Brian Krebs. Het contractanteam dat de GitHub‑omgeving beheerste reageerde echter niet op de waarschuwingen, waardoor Valadon besloot de kwestie publiekelijk te maken via Krebs' blog.
Waarom dit een blunder is voor een cybersecurity‑autoriteit
De Cybersecurity‑ en Infrastructuurbeveiligingsagentschap (CISA) is belast met de bescherming van de civiele federale netwerken van de VS. Het is dan ook ironisch dat een entiteit die organisaties adviseert over best practices – zoals het gebruik van beveiligde wachtwoordmanagers en het vermijden van onbeschermde spreadsheets – zelf slachtoffer werd van een dergelijk fundamenteel beveiligingslek.
Reactie van CISA
Een woordvoerder, Marco DiSandro, gaf aan dat CISA zich bewust is van het incident en de zaak onderzoekt. Volgens hem is er “geen indicatie dat gevoelige data is gecompromitteerd”. Tot op heden heeft de agentie nog geen bevestiging gegeven over eventuele misbruik door derden, noch over het intrekken of vervangen van de gelekte credentials.
De bredere context: personeelsverlies en leiderschapscrisis
Naast dit technische incident kampt CISA met structurele problemen. Sinds de vertrek van directeur Jen Easterly in januari 2025 heeft de organisatie geen permanente leiding gehad. Bovendien heeft de overgang naar een nieuwe regering geleid tot een flinke personele inkrimping: een derde van het personeel is vertrokken door bezuinigingen, verlof of ontslag. Deze omstandigheden kunnen het risico op fouten vergroten, zoals het hier getoonde onzorgvuldige beheer van gevoelige gegevens.
De rol van externe contractanten
Hoewel de fout werd veroorzaakt door een werknemer van een contractant, blijft de uiteindelijke verantwoordelijkheid bij CISA liggen. Het incident benadrukt de noodzaak van strikte controlemechanismen en een robuust beleid rond derde‑partij toegang, vooral wanneer er kritieke overheidsdata in het spel zijn.
Voor cybersecurity‑professionals en beleidsmakers vormt dit geval een duidelijke waarschuwing: zelfs de hoogste beveiligingsinstanties kunnen over het hoofd zien wat alom bekend is – het gevaar van onversleutelde spreadsheets in publieke repositories.
