Kredensial Rahasia CISA Bocor di Repositori GitHub Publik

Lembaga keamanan siber pemerintah Amerika Serikat, CISA (Cybersecurity and Infrastructure Security Agency), tengah menjadi sorotan setelah ditemukan bahwa kredensial sensitif mereka telah bocor di repositori GitHub publik. Menurut laporan dari Ars Technica, repositori bernama Private-CISA telah mengandung password plaintext, kunci SSH privat, token, dan aset sensitif lainnya sejak setidaknya November 2025.

Peneliti keamanan Brian Krebs melaporkan bahwa repositori tersebut ditemukan oleh Guillaume Valadon dari GitGuardian melalui pemindaian kode publik mereka. Valadon mencoba menghubungi pemilik repositori setelah menemukannya, namun tidak mendapat respons. Ia kemudian menyampaikan temuannya kepada Krebs.

Yang lebih mengkhawatirkan, pengujian yang dilakukan oleh Philippe Caturegli, founder Seralys, menunjukkan bahwa kredensial tersebut benar-benar fungsional. Caturegli berhasil menggunakan kredensial dari repositori Private-CISA untuk mendapatkan akses ke beberapa akun Amazon Web Services GovCloud dengan tingkat privilege yang tinggi. AWS GovCloud adalah lingkungan cloud khusus yang dirancang untuk beban kerja sensitif pemerintah AS, menjadikan potensi dampak dari kebocoran ini sangat serius.

Menurut email yang dikirim Valadon kepada Krebs, log commit repositori menunjukkan bahwa perlindungan default GitHub terhadap commit rahasia telah sengaja dinonaktifkan oleh administrator repositori. GitHub secara default memiliki mekanisme yang dirancang untuk mencegah developer yang tidak waspada atau tidak terampil melakukan kesalahan fatal seperti ini. Namun, dalam kasus ini, seseorang dengan sengaja mematikan perlindungan tersebut.

Repositori tersebut tampaknya dikelola oleh Nightwing, kontraktor CISA yang berbasis di Virginia. Nightwing hingga saat ini belum memberikan komentar publik dan malah mengarahkan pertanyaan kembali ke CISA. Repositori kini telah dihapus dari GitHub, namun tidak diketahui berapa lama data tersebut telah tersedia secara publik dan apakah ada pihak lain yang telah mengaksesnya sebelum ditemukan.

Insiden ini bukan pertama kalinya CISA terlibat dalam masalah keamanan. Pada Januari 2026, Direktur Pelaksana CISA saat itu, Madhu Gottumukkala, yang telah gagal dalam tes poligraf, secara tidak sengaja mengunggah dokumen sensitif pemerintah ke ChatGPT setelah meminta dan menerima pengecualian dari kebijakan larangan penggunaan ChatGPT di CISA. Gottumukkala kemudian diangkat dari jabatannya pada Februari 2026.

Kasus ini menjadi pengingat yang keras bahwa bahkan lembaga yang bertugas melindungi infrastruktur kritis suatu negara tetap rentan terhadap kesalahan dasar dalam praktik keamanan. Penyimpanan kredensial di repositori publik, terlepas dari namanya, merupakan pelanggaran terhadap prinsip-prinsip fundamental keamanan siber. Praktik secret management yang baik mengharuskan penggunaan vault terenkripsi, rotasi kredensial secara berkala, dan pemindaian otomatis untuk mencegah kebocoran.

Bagi developer dan tim DevOps di Indonesia, insiden ini menunjukkan pentingnya menerapkan pre-commit hooks dan tools seperti GitGuardian atau TruffleHog untuk memindai kode sebelum di-push ke repositori publik. Jangan pernah mengasumsikan bahwa nama repositori yang mengandung kata private akan melindungi kontennya dari akses publik. Selalu asumsikan bahwa apa pun yang di-push ke GitHub publik dapat ditemukan oleh siapa saja.

Lebih jauh lagi, organisasi harus memastikan bahwa tim security memiliki wewenang untuk menonaktifkan perlindungan bawaan platform hanya dalam keadaan yang sangat terbatas dan dengan persetujuan tertulis dari pihak governance. Nonaktifkan perlindungan commit secret tanpa alasan yang kuat adalah tindakan yang tidak dapat dibenarkan dalam konteks apapun.

Sumber: Ars Technica - In stunning display of stupid, secret CISA credentials found in public GitHub repo