أفادت تقارير متخصصة بأن متعاقداً يعمل مع وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) ترك مستودعاً عاماً على منصة GitHub يحتوي على بيانات اعتماد حساسة. وشملت هذه البيانات مفاتيح إدارية لخدمات AWS GovCloud، بالإضافة إلى كلمات مرور نصية لأنظمة داخلية مرتبطة بالوكالة ووزارة الأمن الداخلي الأميركية.
ووفقاً للتفاصيل المنشورة، حمل المستودع اسم Private-CISA، واحتوى على ملفات توضح آليات بناء البرمجيات واختبارها ونشرها داخل بيئات CISA. وقد وصف باحثون أمنيون هذه الواقعة بأنها إخفاق في إدارة الأسرار الرقمية، نظراً لوجود مفاتيح سحابية، ورموز وصول، وكلمات مرور محفوظة بصيغة غير مشفرة، إلى جانب سجلات وملفات تشغيل داخلية.
بدأت القضية عندما رصد غيوم فالادون، الباحث في GitGuardian، المستودع أثناء فحص مستودعات الشيفرة بحثاً عن أسرار مكشوفة. وأوضح فالادون أن مالك الحساب لم يستجب للتنبيهات، كما أظهرت السجلات أن إعدادات GitHub التي تمنع نشر مفاتيح SSH أو الأسرار المماثلة في المستودعات العامة كانت معطلة. وأشار فالادون إلى أن وجود كلمات مرور نصية، ونسخ احتياطية داخل Git، وأوامر لتعطيل فحص الأسرار، يعكس ممارسات أمنية شديدة الضعف.
من جانبه، أشار الباحث الأمني فيليب كاتوريغلي، مؤسس شركة Seralys، إلى أن أحد الملفات تضمن بيانات اعتماد إدارية لثلاثة خوادم على AWS GovCloud، بينما احتوى ملف آخر على أسماء مستخدمين وكلمات مرور لعشرات الأنظمة الداخلية. وأظهر التحليل أن المستودع استُخدم على الأرجح كمساحة عمل أو أداة مزامنة بين بيئات مختلفة، وليس كمستودع مشروع مراجع أمنياً ومضبوطاً.
كما أفادت التقارير بأن الحساب مرتبط بموظف في شركة Nightwing، وهي متعاقد حكومي مقرها في دالاس بولاية فرجينيا. وقد امتنعت الشركة عن التعليق وأحالت الاستفسارات إلى CISA، التي لم ترد بدورها على أسئلة حول مدة انكشاف البيانات. وذكر كاتوريغلي أن المستودع أُنشئ في 13 نوفمبر 2025، وأن بعض مفاتيح AWS ظلت صالحة لمدة قاربت 48 ساعة بعد حذف الحساب من GitHub إثر إبلاغ CISA بالواقعة.
تكتسب هذه الحادثة أهمية قصوى نظراً لكونها تمس الجهة المسؤولة عن دعم الدفاع السيبراني وحماية البنية التحتية الحيوية في الولايات المتحدة. ولا تتوقف خطورة الأمر عند تسرب مفاتيح وكلمات مرور، بل تمتد لتكشف عن ممارسات تشغيلية مقلقة، مثل تخزين كلمات المرور في ملفات CSV، والاعتماد على كلمات مرور ضعيفة، وغياب ضوابط فعالة لمنع تسرب الأسرار قبل وصولها إلى منصات عامة.
