Det var præcis den slags fejl, man forventer, at andre begår.
Men denne gang handler sagen altså om USA's helt egen cybersikkerhedsmyndighed CISA, der ellers har til opgave at beskytte kritisk infrastruktur mod cybertrusler.
Ifølge mediet Gizmodo har myndighedens passwords, tokens og digitale nøgler til myndighedens egne systemer ligget frit fremme i klartekst.
Fejlen er sidenhen blevet rettet, og CISA siger, at der ikke er tegn på, at følsomme data er blevet kompromitteret.
Men en sikkerhedsekspert beskriver lækagen som den værste, han har set i sin karriere.
Lå i offentligt repository
Ifølge mediet lå adgangsoplysningerne fra CISA i et offentligt GitHub-repository, som angiveligt bar navnet "Private-CISA".
En del af materialet var gemt som klartekst, hvilket blandt andet omfattede passwords i en CSV-fil.
CISA arbejder blandt andet med at beskytte USA's kritiske infrastruktur mod cybertrusler fra stater, cyberkriminelle og andre ondsindede aktører.
Netop derfor er sagen særlig opsigtsvækkende, lyder det.
"Den værste lækage, jeg har set"
Oplysningerne blev fundet af Guillaume Valadon fra GitGuardian, som er et selskab, der scanner GitHub for hemmeligheder som passwords, tokens og adgangsnøgler.
Og han lægger ikke skjul på sagens alvor.
Ifølge mediet kalder han hændelsen for "den værste lækage, jeg har set i min karriere".
I materialet, der blev fundet, lå der blandt andet en fil med navnet "importantAWStokens", der skulle have indeholdt administrative adgangsoplysninger til tre Amazon AWS GovCloud-servere.
En anden fil med navnet "AWS-Workspace-Firefox-Passwords.csv" indeholdt ifølge mediet brugernavne og passwords i klartekst til en række interne CISA-systemer.
Blandt systemerne var et system kaldet "LZ-DSO", der tilsyneladende står for "Landing Zone DevSecOps" og beskrives som myndighedens eget sikre miljø til udvikling af kode, lyder det.
CISA: Ingen tegn på kompromittering
CISA siger i en udtalelse, at der aktuelt ikke er tegn på, at følsomme data er blevet kompromitteret som følge af hændelsen.
Myndigheden oplyser samtidig, at den arbejder på at indføre yderligere sikkerhedsforanstaltninger for at forhindre lignende episoder i fremtiden.
"Selv om vi holder vores medarbejdere op på de højeste standarder for integritet og operationel opmærksomhed, arbejder vi på at sikre, at der bliver implementeret yderligere sikkerhedsforanstaltninger for at forhindre fremtidige hændelser," lyder det fra CISA.
Hvor længe oplysningerne har været offentligt tilgængelige, står ikke helt klart.
Repositoryet blev oprettet i november sidste år, hvilket kan betyde, at eksponeringen har varet omkring seks måneder. Det afhænger dog af, hvornår de konkrete oplysninger blev lagt ind.
Svær periode for myndigheden
Lækagen rammer CISA på et tidspunkt, hvor myndigheden i forvejen befinder sig i politisk og organisatorisk modvind.
CISA blev oprettet i 2018 under Donald Trumps første præsidentperiode.
Siden er myndigheden blevet et centralt organ i USA’s arbejde med cybersikkerhed og beskyttelse af kritisk infrastruktur.
Men under Donald Trumps anden præsidentperiode har CISA ifølge artiklen haft en kaotisk periode.
Ingen af de fungerende direktører, der er blevet udpeget undervejs, er blevet bekræftet af Senatet, og den amerikanske præsident har samtidig søgt at skære markant i myndighedens budget.
