Cybersikkerhedsmyndighed ramt af pinlig brøler: "Den værste lækage, jeg har set i min karriere"

Myndighedens opgave er at beskytte kritisk infrastruktur mod cybertrusler, men nu viser det sig, at dens egne passwords, tokens og cloud-nøgler lå frit fremme.

Artikel top billede

(Foto: FlyD / Unsplash)

Det var præcis den slags fejl, man forventer, at andre begår.

Men denne gang handler sagen altså om USA's helt egen cybersikkerhedsmyndighed CISA, der ellers har til opgave at beskytte kritisk infrastruktur mod cybertrusler.

Ifølge mediet Gizmodo har myndighedens passwords, tokens og digitale nøgler til myndighedens egne systemer ligget frit fremme i klartekst.

Fejlen er sidenhen blevet rettet, og CISA siger, at der ikke er tegn på, at følsomme data er blevet kompromitteret.

Men en sikkerhedsekspert beskriver lækagen som den værste, han har set i sin karriere.

Lå i offentligt repository

Ifølge mediet lå adgangsoplysningerne fra CISA i et offentligt GitHub-repository, som angiveligt bar navnet "Private-CISA".

En del af materialet var gemt som klartekst, hvilket blandt andet omfattede passwords i en CSV-fil.

CISA arbejder blandt andet med at beskytte USA's kritiske infrastruktur mod cybertrusler fra stater, cyberkriminelle og andre ondsindede aktører.

Netop derfor er sagen særlig opsigtsvækkende, lyder det.

"Den værste lækage, jeg har set"

Oplysningerne blev fundet af Guillaume Valadon fra GitGuardian, som er et selskab, der scanner GitHub for hemmeligheder som passwords, tokens og adgangsnøgler.

Og han lægger ikke skjul på sagens alvor.

Ifølge mediet kalder han hændelsen for "den værste lækage, jeg har set i min karriere".

I materialet, der blev fundet, lå der blandt andet en fil med navnet "importantAWStokens", der skulle have indeholdt administrative adgangsoplysninger til tre Amazon AWS GovCloud-servere.

En anden fil med navnet "AWS-Workspace-Firefox-Passwords.csv" indeholdt ifølge mediet brugernavne og passwords i klartekst til en række interne CISA-systemer.

Blandt systemerne var et system kaldet "LZ-DSO", der tilsyneladende står for "Landing Zone DevSecOps" og beskrives som myndighedens eget sikre miljø til udvikling af kode, lyder det.

CISA: Ingen tegn på kompromittering

CISA siger i en udtalelse, at der aktuelt ikke er tegn på, at følsomme data er blevet kompromitteret som følge af hændelsen.

Myndigheden oplyser samtidig, at den arbejder på at indføre yderligere sikkerhedsforanstaltninger for at forhindre lignende episoder i fremtiden.

"Selv om vi holder vores medarbejdere op på de højeste standarder for integritet og operationel opmærksomhed, arbejder vi på at sikre, at der bliver implementeret yderligere sikkerhedsforanstaltninger for at forhindre fremtidige hændelser," lyder det fra CISA.

Hvor længe oplysningerne har været offentligt tilgængelige, står ikke helt klart.

Repositoryet blev oprettet i november sidste år, hvilket kan betyde, at eksponeringen har varet omkring seks måneder. Det afhænger dog af, hvornår de konkrete oplysninger blev lagt ind.

Svær periode for myndigheden

Lækagen rammer CISA på et tidspunkt, hvor myndigheden i forvejen befinder sig i politisk og organisatorisk modvind.

CISA blev oprettet i 2018 under Donald Trumps første præsidentperiode.
Siden er myndigheden blevet et centralt organ i USA’s arbejde med cybersikkerhed og beskyttelse af kritisk infrastruktur.

Men under Donald Trumps anden præsidentperiode har CISA ifølge artiklen haft en kaotisk periode.

Ingen af de fungerende direktører, der er blevet udpeget undervejs, er blevet bekræftet af Senatet, og den amerikanske præsident har samtidig søgt at skære markant i myndighedens budget.

Læses lige nu

    Event: Cyber Security Festival 2026

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

    18 & 19 november 2026 | Gratis deltagelse

    Navnenyt fra it-Danmark

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job