Um vazamento de credenciais ligado à CISA deixou senhas, chaves de nuvem e certificados expostos em um repositório público por quase seis meses. Quando o alerta finalmente chegou à agência americana de segurança cibernética, a equipe descobriu que não possuía um plano específico para responder ao tipo de incidente que estava enfrentando.
O contraste chamou atenção: a organização responsável por orientar órgãos públicos e empresas precisou desenvolver parte de seu próprio playbook enquanto a crise já estava em andamento. O caso não reduz a importância técnica da CISA, mas oferece uma lição desconfortável para qualquer empresa que acredita estar preparada apenas porque possui uma política genérica arquivada.
O vazamento de credenciais também mostra que a velocidade da resposta não depende apenas de ferramentas. É preciso saber quem recebe o alerta, quem revoga cada chave, quem investiga os registros, quem fala com terceiros e quem decide quando um sistema pode voltar à operação.
Neste artigo
Vazamento de credenciais na CISA em resumo
| Item | Informação confirmada |
|---|---|
| Origem | Repositório público mantido por um funcionário de empresa contratada |
| Período | Criado em novembro de 2025 e removido em maio de 2026 |
| Volume encontrado | 844 MB entre arquivos atuais e histórico do Git |
| Dados | Senhas, tokens, certificados, logs, backups e informações de infraestrutura |
| Detecção | Monitoramento externo da GitGuardian |
| Impacto declarado | A CISA afirma que nenhum dado de missão ou cliente foi exposto |
A GitGuardian encontrou o material em 14 de maio de 2026. O repositório chamado “Private-CISA” havia sido criado em 13 de novembro de 2025 e reunia arquivos relacionados a ambientes de desenvolvimento, automação, nuvem e implantação de software.
Segundo a investigação publicada pela própria empresa de segurança, o repositório saiu do ar em aproximadamente 26 horas após o contato direto com a CISA. Entretanto, o vazamento de credenciais não terminou no instante em que a página desapareceu: segredos presentes no histórico continuavam exigindo revogação, troca e verificação. O vazamento de credenciais permaneceu um incidente ativo até que cada acesso pudesse ser invalidado.
Como o repositório público foi descoberto
O monitoramento da GitGuardian identificou arquivos que pareciam conter segredos reais. A equipe inicialmente considerou a possibilidade de uma simulação, porque nomes de pastas e documentos eram explícitos demais. A presença de documentos pessoais, endereços internos e credenciais válidas confirmou que não se tratava de um teste.
Antes de o caso chegar à agência, nove mensagens automáticas teriam sido enviadas ao autor dos commits sem resposta. O pesquisador também utilizou o CERT/CC e contatos profissionais. Com o fim de semana se aproximando, o jornalista Brian Krebs foi acionado para alcançar pessoas dentro da CISA.
Esse caminho revela um problema frequente: muitas organizações publicam canais para falhas em seus produtos, mas não deixam claro como relatar um vazamento de credenciais ou uma exposição envolvendo a própria infraestrutura. Um alerta legítimo pode acabar na fila errada enquanto o dado continua público.
O que estava exposto
Os 844 MB incluíam o diretório de trabalho e o histórico do Git. Em um vazamento de credenciais, esse detalhe importa porque excluir um arquivo do projeto atual não apaga necessariamente suas versões anteriores. Um atacante pode pesquisar commits antigos e recuperar informações que já não aparecem na página principal.
- Credenciais administrativas para contas de nuvem governamental.
- Usuários e senhas em texto simples para sistemas internos.
- Chaves privadas, tokens profissionais e pessoais.
- Certificados usados em autenticação corporativa.
- Manifestos de Kubernetes e arquivos de automação de infraestrutura.
- Logs de construção, fluxos de implantação e documentação de CI/CD.
- Backups de documentos e referências a serviços internos.
Um vazamento de credenciais desse tipo oferece mais do que uma possível porta de entrada. Ele revela o mapa operacional: nomes de serviços, relações de confiança, ferramentas de implantação e caminhos que podem ajudar um invasor a se movimentar pela cadeia de software.
As 7 falhas que ampliaram o risco
O vazamento de credenciais não resultou de uma única decisão. Ele atravessou armazenamento, desenvolvimento, monitoramento, comunicação, rotação de chaves e controle de terceiros.
1. Um repositório público virou área de trabalho
O conjunto apresentava características de armazenamento e sincronização improvisados. Código, backups, documentos e segredos foram concentrados em um espaço que podia ser acessado pela internet.
2. Senhas e chaves estavam em texto simples
Tokens e credenciais nunca devem acompanhar o código. Eles precisam ser obtidos de um cofre de segredos no momento da execução, com permissões mínimas e registro de uso.
3. As proteções do repositório foram contornadas
Os pesquisadores encontraram instruções relacionadas à desativação de mecanismos de detecção. Controles que podem ser desligados silenciosamente deixam de funcionar como barreira organizacional.
4. Alertas externos não chegaram rapidamente à equipe certa
O pesquisador tentou diferentes caminhos até conseguir contato efetivo. No vazamento de credenciais, horas podem definir se uma chave é apenas visualizada ou realmente utilizada.
5. Não havia um playbook específico para GitHub e nuvem
A CISA possuía orientações gerais, mas admitiu que precisou montar procedimentos para esse cenário durante a resposta. A equipe perdeu tempo definindo tarefas que poderiam ter sido ensaiadas.
6. A rotação das chaves foi mais complexa do que o esperado
Credenciais podem estar conectadas a aplicações, fornecedores e automações. Trocá-las sem interromper serviços exige inventário, responsáveis e testes anteriores.
7. O controle sobre terceiros não impediu a exposição
O acesso pertencia a um profissional de empresa contratada. A organização continua responsável por limitar privilégios, acompanhar ferramentas utilizadas e revogar acessos quando o contrato muda.
O que a CISA fez corretamente depois do alerta
Uma análise justa do vazamento de credenciais não deve ignorar os acertos. Após receber a notificação por um canal capaz de alcançar a equipe adequada, a agência retirou o repositório do ar, revogou o acesso do profissional e iniciou a substituição dos segredos.
Logs detalhados e princípios de confiança zero ajudaram a investigar o alcance. A CISA declarou que as credenciais não foram utilizadas fora de seus ambientes e que nenhum dado de cliente ou de missão foi exposto. A afirmação se refere à investigação divulgada, não à inexistência de risco durante o período.
Outro acerto foi publicar um relatório pós-incidente. Transparência permite que outras equipes aprendam sem repetir o mesmo vazamento de credenciais. A agência reconheceu lacunas nos canais de comunicação, no monitoramento de segredos, no playbook e na capacidade de rotação de chaves.
Como criar um playbook realmente executável
Um playbook não precisa prever todos os detalhes do ataque. Ele deve eliminar decisões básicas sob pressão. Para um vazamento de credenciais em repositório de código, o documento precisa responder perguntas objetivas.
- Validar: quem confirma se o segredo é real sem utilizá-lo de maneira indevida?
- Preservar: quem registra evidências e copia metadados antes da remoção?
- Conter: quem torna o repositório privado ou solicita sua retirada?
- Revogar: quem pode desativar cada token, senha, certificado ou chave?
- Investigar: quais logs mostram uso, origem, horário e recursos acessados?
- Recuperar: como distribuir novos segredos sem quebrar sistemas?
- Comunicar: quando envolver liderança, jurídico, clientes e autoridades?
- Aprender: quais controles impedirão a repetição e quando serão testados?

O teste é tão importante quanto o documento. Escolha uma chave não crítica, simule seu comprometimento e cronometre a troca. Se ninguém sabe quem aprova a revogação ou se uma aplicação para de funcionar, o exercício encontrou a fragilidade antes do atacante.
O plano também deve considerar o histórico do Git. Remover o arquivo atual não resolve o vazamento de credenciais, pois forks, clones, caches e commits anteriores podem conservar o conteúdo. Todo segredo publicado deve ser tratado como comprometido e substituído.
O que pequenas empresas devem fazer agora
Uma empresa pequena talvez não tenha um centro de operações, mas pode reduzir muito o risco de vazamento de credenciais com controles simples. Ative a proteção contra segredos no provedor de código, use autenticação multifator e retire credenciais de scripts, planilhas e arquivos de configuração.
Crie um endereço como segurança@empresa.com.br e publique um arquivo security.txt com instruções claras. O canal deve ser monitorado por pessoas capazes de reconhecer urgência, inclusive em fins de semana.
Mantenha um inventário mínimo com nome do segredo, sistema, responsável, validade e processo de rotação. Se ocorrer um vazamento de credenciais, a equipe não precisará procurar às cegas quais aplicações dependem daquela chave.
Por fim, revise acessos de fornecedores e funcionários. Contas administrativas devem ser temporárias quando possível, e atividades sensíveis precisam gerar logs protegidos. O mesmo princípio vale para equipamentos de rede: atualizar é essencial, mas investigar sinais de acesso anterior também é necessário, como explicamos no caso da falha explorada no Cisco SD-WAN.
Perguntas frequentes
A CISA foi invadida?
O caso divulgado foi uma exposição pública causada por um repositório mantido por um contratado. A agência afirmou não ter encontrado uso externo das credenciais nem exposição de dados de missão ou clientes.
Apagar a senha do repositório resolve?
Não. O histórico, clones e caches podem manter cópias. A credencial deve ser revogada, substituída e investigada.
O que é rotação de chaves?
É o processo de invalidar um segredo antigo, criar outro e atualizar com segurança todos os sistemas que dependem dele.
Por que um playbook genérico não foi suficiente?
Incidentes em código e nuvem exigem tarefas específicas: retirar repositórios, pesquisar históricos, acionar plataformas externas e trocar credenciais conectadas a diversas aplicações.
Qual é a principal lição do caso?
Preparação precisa ser operacional. Um documento não testado não garante que pessoas, acessos e ferramentas funcionarão quando cada minuto importar.
Fontes
- CISA — Lessons from CISA’s Cyber Incident
- GitGuardian — descoberta e retirada do repositório
- GitGuardian — lições do relatório pós-incidente
- KrebsOnSecurity — análise das credenciais e da resposta
- TechCrunch — playbook preparado durante o incidente
Artigo atualizado em 17 de julho de 2026. O conteúdo apresenta informações públicas e recomendações defensivas; não reproduz as credenciais, arquivos ou caminhos expostos.