Nach Einschätzung von Fachleuten, die das inzwischen entfernte Private-CISA-Archiv prüften, wurde es ursprünglich im November 2025 angelegt. Das Muster spreche dafür, dass eine einzelne Person das Repository als Arbeits-Notizblock oder zur Synchronisierung nutzte und nicht als gepflegtes Projektarchiv.
In einer schriftlichen Stellungnahme erklärte CISA, es gebe „keine Hinweise darauf, dass infolge des Vorfalls sensible Daten kompromittiert wurden". Senatorin Maggie Hassan (Demokraten, New Hampshire) hielt in einem Schreiben an den kommissarischen CISA-Direktor Nick Andersen dagegen: Der Vorfall werfe „ernste Fragen zu den internen Richtlinien und Verfahren der CISA in einer Zeit erheblicher Cyberbedrohungen gegen kritische Infrastruktur der USA" auf. Ihr Brief enthielt rund ein Dutzend Fragen zu dem Vorfall. Hassan verwies darauf, dass sich das Leck vor dem Hintergrund massiver interner Umbrüche ereignete: CISA habe nach von der Trump-Regierung erzwungenen Frühverrentungen, Abfindungen und Kündigungen mehr als ein Drittel ihrer Belegschaft und fast alle hochrangigen Führungskräfte verloren.
Auch Abgeordnete des Repräsentantenhauses meldeten sich zu Wort. Bennie Thompson (Demokraten, Mississippi), ranghöchstes Minderheitsmitglied im Heimatschutzausschuss, schrieb gemeinsam mit Delia Ramirez (Demokraten, Illinois), man sei besorgt, dass der Vorfall „eine geschwächte Sicherheitskultur und/oder die Unfähigkeit der CISA widerspiegelt, ihre vertraglichen Dienstleister angemessen zu steuern". Die Dateien im Private-CISA-Repository hätten Gegnern wie China, Russland und Iran die Informationen, den Zugang und den Fahrplan geliefert, um genau das zu erreichen.
KrebsOnSecurity zufolge arbeitete die Behörde mehr als eine Woche nach der ersten Meldung durch die Sicherheitsfirma GitGuardian noch immer daran, viele der offengelegten Schlüssel und Geheimnisse ungültig zu machen und zu ersetzen.
Dylan Ayrey, Entwickler des Open-Source-Werkzeugs TruffleHog zum Aufspüren privater Schlüssel in öffentlich gehostetem Code, berichtete, CISA habe einen im Repository offengelegten privaten RSA-Schlüssel zunächst nicht gesperrt. Dieser gewährte Zugriff auf eine GitHub-App des CISA-Unternehmenskontos mit vollem Zugriff auf alle Code-Repositories der Organisation CISA-IT. Ein Angreifer hätte damit laut Ayrey Quellcode aus jedem Repository lesen, eigene Build-Runner zur Übernahme der CI/CD-Pipelines registrieren und Administrationseinstellungen verändern können. Nach einer Benachrichtigung durch KrebsOnSecurity habe CISA diesen Schlüssel offenbar gesperrt — andere Zugangsdaten zu kritischen Sicherheitstechnologien seien jedoch weiterhin nicht rotiert worden.
Ayrey wies darauf hin, dass GitHub einen Live-Datenstrom aller Commits in öffentlichen Repositories veröffentlicht. Seine Firma Truffle Security überwache diesen Strom nach offengelegten Schlüsseln — doch es gebe Belege, dass auch Angreifer ihn beobachteten. Die heikelsten Geheimnisse seien dem Repository nach Ayreys Angaben Ende April 2026 hinzugefügt worden.
James Wilson vom Sicherheits-Podcast Risky Business erklärte, Organisationen könnten zentrale Richtlinien setzen, die Mitarbeitern das Abschalten von GitHubs Schutzfunktionen verbieten. Sein Co-Moderator Adam Boileau hielt jedoch fest, kein technisches Mittel könne verhindern, dass ein Mitarbeiter ein eigenes privates GitHub-Konto eröffne und dort vertrauliche Informationen ablege: „Letztlich ist das etwas, das man nicht mit einer technischen Kontrolle lösen kann. Das ist ein menschliches Problem."
