Přejít na hlavní obsah
CIAD

Dodavatel americké vládní agentury unikl tajné klíče na GitHub. Kongres chce vysvětlení.

Kontraktor CISA ukládal od listopadu 2025 admin klíče, hesla a SSH klíče vládní agentury na osobní GitHub účet. 844 MB citlivých dat.

Co se stalo

V květnu 2026 vyšlo najevo, že kontraktor pracující pro firmu Nightwing, subdodavatele americké Agentury pro kybernetickou a infrastrukturní bezpečnost (CISA, obdoba českého NÚKIB), ukládal od listopadu 2025 vysoce citlivá data této agentury na svůj osobní účet na GitHubu. GitHub je veřejná platforma pro sdílení kódu, kterou používají vývojáři po celém světě. Jakýkoliv veřejný repozitář je přístupný komukoli na internetu.

Repozitář s názvem “Private-CISA” obsahoval celkem 844 MB dat.

Co konkrétně uniklo

Mezi kompromitovanými materiály byly:

  • Admin klíče ke třem účtům AWS GovCloud (cloudo­vá infrastruktura určená výhradně pro americké vládní agentury)
  • Plaintext hesla (hesla uložená v čitelné podobě, bez šifrování) v CSV souborech k desítkám interních systémů
  • SSH klíče (přístupové certifikáty pro vzdálené přihlašování k serverům)
  • Konfigurace Kubernetes (nastavení systémů pro provoz vládních aplikací)
  • RSA privátní klíč k celé kódové základně CISA-IT

Jak byl incident odhalen a jak rychle reagovali

Incident odhalil výzkumník Guillaume Valadon ze společnosti GitGuardian, která se specializuje na automatické vyhledávání uniklých přístupových údajů ve veřejných repozitářích. Valadon upozornil bezpečnostního novináře Briana Krebse 15. května 2026. Repozitář byl odstraněn 18. května 2026. K datu 22. května 2026 CISA stále probíhalo odvolávání kompromitovaných klíčů a hesel.

Kongresmeni z obou komor amerického Kongresu mezitím požadují detailní vysvětlení ohledně auditů kontraktorů a procesů správy přístupových tajemství.

Proč to zajímá i české firmy

Incident ilustruje systémový problém, který se netýká jen americké vlády. Riziko nepochází jen z technických zranitelností, ale stejnou měrou z lidského faktoru a nedisciplinovaného nakládání s citlivými daty. Dostatečné zabezpečení vlastní firmy nestačí, pokud kontraktor nebo dodavatel pracuje bez jasných pravidel.

Pro organizace v ČR a EU jde o konkrétní argument pro zavedení automatizovaného skenování tajemství v CI/CD pipeline (automatizovaném vývojovém řetězci) a pro periodické audity přístupů třetích stran.

Co z toho plyne

Doporučení:

  • Zaveďte automatické skenování tajemství (secrets scanning) v celém vývojovém řetězci.
  • Vyžadujte od všech kontraktorů smluvní závazek ke správě tajemství a pravidelné audity.
  • Implementujte rotaci přístupových klíčů s maximální platností 90 dní.
  • Zakažte ukládání citlivých dat nebo ekvivalentních vládních informací na osobní účty v cloudových službách.
  • Monitorujte veřejné repozitáře na únik interních identifikátorů přes nástroje jako GitGuardian nebo truffleHog.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog