Das von Valadon gemeldete Repository trug den Namen „Private-CISA" und enthielt eine große Menge interner Zugangsdaten und Dateien von CISA und dem Heimatschutzministerium DHS: Cloud-Schlüssel, Tokens, Passwörter im Klartext, Logs und weitere sensible Bestände. Laut Valadon zeigen die Commit-Protokolle des betreffenden Kontos, dass der CISA-Administrator die GitHub-Standardeinstellung deaktiviert hatte, die das Veröffentlichen von SSH-Schlüsseln und anderen Geheimnissen in öffentlichen Repositories blockiert.

„Passwörter im Klartext in einer CSV-Datei, Backups in Git, ausdrückliche Befehle zum Abschalten der GitHub-Erkennung von Geheimnissen", schrieb Valadon. Er habe zunächst geglaubt, alles sei gefälscht, bevor er den Inhalt genauer analysierte: Es sei das schlimmste Leck seiner Laufbahn. Zwar handle es sich offensichtlich um den Fehler einer Einzelperson, doch könnte er interne Praktiken offenbaren.

Eine der exponierten Dateien mit dem Titel „importantAWStokens" enthielt die administrativen Zugangsdaten zu drei AWS-GovCloud-Servern. Eine weitere Datei — „AWS-Workspace-Firefox-Passwords.csv" — listete Klartext-Benutzernamen und -Passwörter für Dutzende interner CISA-Systeme auf, darunter eines namens „LZ-DSO", was laut Philippe Caturegli, Gründer der Sicherheitsberatung Seralys, für „Landing Zone DevSecOps" steht, die abgesicherte Entwicklungsumgebung der Behörde.

Caturegli prüfte die AWS-Schlüssel nach eigenen Angaben nur, um deren Gültigkeit und die erreichbaren Systeme festzustellen. Er bestätigte, dass die Zugangsdaten sich mit hohen Rechten bei drei AWS-GovCloud-Konten authentifizieren ließen. Das Archiv enthalte zudem Klartext-Zugangsdaten zu CISAs internem „Artifactory" — dem Repository sämtlicher Code-Pakete für die Softwareentwicklung. Dies sei ein lohnendes Ziel für Angreifer, die sich dauerhaft in CISA-Systemen festsetzen wollten: „Das wäre ein erstklassiger Ausgangspunkt für seitliche Bewegung. Eine Hintertür in einigen Software-Paketen, und bei jedem neuen Build wird die Hintertür gleich mit ausgerollt."

Das Konto deutet laut Caturegli auf einen einzelnen Nutzer hin, der das Repository als Arbeitsablage oder zur Synchronisation verwendete, nicht als gepflegtes Projektarchiv. Die Nutzung sowohl einer CISA-Adresse als auch einer privaten E-Mail-Adresse lege nahe, dass das Repository über unterschiedlich konfigurierte Umgebungen hinweg genutzt wurde; die Git-Metadaten allein bewiesen jedoch nicht, welches Gerät zum Einsatz kam.

Eine Auswertung des Kontos zeigt, dass das Repository von einem Mitarbeiter des Dienstleisters Nightwing mit Sitz in Dulles, Virginia, betreut wurde. Nightwing wollte sich nicht äußern und verwies an CISA. Das „Private-CISA"-Repository wurde laut Caturegli am 13. November 2025 angelegt; das GitHub-Konto des Vertragspartners besteht bereits seit September 2018.

Kurz nachdem KrebsOnSecurity und Seralys CISA informiert hatten, wurde das Konto offline genommen. Die exponierten AWS-Schlüssel blieben Caturegli zufolge dennoch weitere 48 Stunden gültig. Viele der internen Zugangsdaten nutzten zudem leicht zu erratende Passwörter — etwa den jeweiligen Plattformnamen gefolgt vom aktuellen Jahr.

CISA arbeitet derzeit mit nur einem Bruchteil ihres üblichen Budgets und Personals und hat seit Beginn der zweiten Trump-Regierung nahezu ein Drittel ihrer Belegschaft verloren. CISA erklärte, man halte die eigenen Mitarbeiter an höchste Integritäts- und Sorgfaltsstandards und arbeite an zusätzlichen Schutzmaßnahmen.