Witold Kepinski - 14 juli 2026

Cyberwaakhond CISA pijnlijk door de mand met GitHub-lek

De Cybersecurity and Infrastructure Security Agency (CISA), de belangrijkste overheidsinstantie voor cyberbeveiliging in de Verenigde Staten, heeft een uiterst kritische evaluatie (postmortem) gepubliceerd over een recent, intern datalek. Een externe contractant bleek maandenlang gevoelige inloggegevens en beheerderssleutels open en bloot op het platform GitHub te hebben gedeeld. Het incident legt diepe operationele gebreken bloot bij de instantie die de rest van de wereld juist moet adviseren over cyberveiligheid.

Cyberwaakhond CISA pijnlijk door de mand met GitHub-lek image

De kwestie kwam aan het licht nadat cybersecurityplatform KrebsOnSecurity aan de bel trok, op basis van data van het beveiligingsbedrijf GitGuardian zi meldt Krebsonsecurity.

Onversleutelde wachtwoorden en AWS-sleutels

Halverwege mei 2026 stuitte GitGuardian op een openbare GitHub-repository met de veelzeggende naam “Private CISA”. De map bevatte maar liefst 844 MB aan gevoelige data van de Amerikaanse cyberwaakhond.

Onder de gelekte bestanden bevond zich onder andere het bestand “importantAWStokens”, dat de administratieve inloggegevens tot drie beveiligde Amazon AWS GovCloud-servers bleek te bevatten. Nog pijnlijker was de vondst van een document genaamd “AWS-Workspace-Firefox-Passwords.csv”. Hierin stonden tientallen gebruikersnamen en wachtwoorden van interne systemen van CISA genoteerd – in zogeheten plaintext, oftewel volledig onversleuteld en direct leesbaar.

Achteraf bleek dat deze gevoelige data bijna zes maanden lang online heeft gestaan. GitGuardian had voorafgaand aan de publicatie via geautomatiseerde systemen negen keer een melding gestuurd naar de betreffende accounts, maar deze waarschuwingen werden door CISA compleet genegeerd.

Bureaucracy vertraagt herstel

Hoewel CISA direct de ontvangst van de handmatige waarschuwing in mei bevestigde, duurde het vervolgens meer dan 48 uur voordat de AWS-sleutels en de gelekte wachtwoorden daadwerkelijk ongeldig werden gemaakt.

In het rapport steken Preston Werntz en Brad Libbey (respectievelijk interim-CIO en interim-CISO van CISA) de hand in eigen boezem. Zij wijzen erop dat de complexiteit van de federale systemen en de koppelingen met externe industriële partners ervoor zorgden dat het vernieuwen van de digitale sleutels veel langer duurde dan gehoopt.

Daarnaast erkent de leiding dat de meldingskanalen voor externe ethische hackers en onderzoekers een rommeltje waren. De onderzoeker moest via talloze omwegen contact zoeken omdat het interne meldsysteem van CISA primair is ingericht op kwetsbaarheden in software van derden, en niet op datalekken binnen de eigen IT-infrastructuur.

Belangrijke lessen voor de sector

Ondanks de flater benadrukt CISA dat de schade beperkt is gebleven. Dankzij strikte logging en het gehanteerde zero-trust-principe binnen de netwerken kon worden vastgesteld dat er geen missie- of klantgegevens zijn buitgemaakt en dat de codes niet buiten de CISA-omgeving zijn misbruikt. De toegang van de verantwoordelijke contractant is inmiddels per direct ingetrokken.

Experts en onderzoekers prijzen de transparantie van het rapport, maar uiten ook harde kritiek. Guillaume Valadon, de onderzoeker van GitGuardian die het lek blootlegde, benadrukt dat organisaties continu moeten scannen op rondslingerende inloggegevens (secrets scanning) in plaats van periodiek.

"Het negeren van negen geautomatiseerde waarschuwingen is hoe een incident van één dag verandert in een blootstelling van zes maanden", aldus Valadon. "Zorg ervoor dat een melding over je eigen infrastructuur niet in een wachtrij voor productssoftware-bugs belandt. De persoon die een lek meldt, is niet de dreiging."

Fundaments BW + BN Axians - Spaces
Fundaments BW + BN

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!