
CISA (Cybersecurity and Infrastructure Security Agency), badan keamanan siber pemerintah Amerika Serikat, baru saja merilis laporan postmortem mengenai kebocoran data besar-besaran di mana seorang kontraktor menerbitkan puluhan kredensial internal CISA — termasuk kunci AWS GovCloud — di repository GitHub publik selama hampir enam bulan sebelum diberitahu oleh KrebsOnSecurity.
Apa yang Terjadi?
Pada 15 Mei 2026, perusahaan keamanan GitGuardian meminta bantuan untuk memberi tahu CISA tentang keberadaan repository GitHub publik bernama “Private CISA” yang berisi 844 MB data sensitif terkait CISA. Di antara file yang terekspos:
- “importantAWStokens” — kredensial administratif untuk tiga server Amazon AWS GovCloud
- “AWS-Workspace-Firefox-Passwords.csv” — daftar nama pengguna dan kata sandi plaintext untuk lusinan sistem internal CISA
CISA mengakui laporan awal kami, tetapi memakan waktu lebih dari 48 jam untuk membatalkan kunci AWS dan banyak rahasia penting lainnya. Dalam laporannya, CISA mengakui kompleksitas sistem dan interkoneksinya dengan mitra federal dan industri menyebabkan rotasi kunci memakan waktu lebih lama dari yang diharapkan.
Detil Teknis
Beberapa temuan kritis dari insiden ini:
- Repository “Private-CISA” awalnya dibuat pada November 2025
- Kontraktor menonaktifkan proteksi bawaan GitHub terhadap publikasi kredensial sensitif
- GitGuardian mengirim sembilan notifikasi otomatis yang tidak ditanggapi sebelum pemberitahuan ke KrebsOnSecurity
- Masih ada kunci RSA privat yang terekspos yang memberikan akses ke GitHub app milik CISA
- Kunci tersebut memberikan akses ke semua repository di organisasi CISA-IT, termasuk repository privat
- Aktor ancaman bisa membaca source code, mendaftarkan runner palsu, dan mengubah pengaturan admin repository
Lebih dari seminggu setelah notifikasi pertama, CISA masih bekerja untuk membatalkan dan mengganti banyak kunci dan rahasia yang terekspos.
Dampak terhadap Indonesia
Insiden ini menjadi pelajaran berharga bagi lembaga pemerintah Indonesia di bidang keamanan siber seperti BSSN (Badan Siber dan Sandi Negara). Jika agensi keamanan siber terkemuka dunia sekalipun bisa mengalami kebocoran seperti ini, organisasi di Indonesia harus lebih waspada dalam mengelola akses kontraktor dan秘密 (secret) di platform pengembangan kode.
Rekomendasi Mitigasi
- Secret scanning: Implementasikan tools seperti GitGuardian atau TruffleHog di seluruh repository
- Branch protection: Aktifkan proteksi branch yang mencegah push langsung ke branch utama
- Key rotation policy: Tetapkan kebijakan rotasi kunci otomatis secara berkala
- Least privilege: Batasi akses kontraktor hanya pada repository yang benar-benar diperlukan
- security.txt: Publikasikan instruksi pelaporan keamanan di beberapa lokasi yang menonjol
- Incident response channel: Pastikan saluran pelaporan insiden terdefinisi dengan jelas
“Membiarkan sembilan email notifikasi tanpa tanggapan adalah bagaimana insiden satu hari menjadi paparan enam bulan,” tulis Guillaume Valadon dari GitGuardian. “Pastikan pelaporan tentang infrastruktur Anda sendiri tidak masuk ke antrian bug produk.”
Sumber: KrebsOnSecurity
