CISA竭力遏制数据泄露，立法者要求答复

<p>美国国会两院议员正在要求<strong>美国网络安全与基础设施安全局</strong>（CISA）给出答复，此前KrebsOnSecurity本周报道称，一名CISA承包商故意在公共<strong>GitHub</strong>账户上发布了AWS GovCloud密钥以及大量其他机构机密。调查进行之际，CISA仍在努力控制该漏洞并使泄露的凭证失效。</p> <p><img decoding="async" class=" wp-image-73648 aligncenter" src="https://krebsonsecurity.com/wp-content/uploads/2026/05/CISA-logo.png" alt="" width="748" height="153" srcset="https://krebsonsecurity.com/wp-content/uploads/2026/05/CISA-logo.png 1873w, https://krebsonsecurity.com/wp-content/uploads/2026/05/CISA-logo-768x157.png 768w, https://krebsonsecurity.com/wp-content/uploads/2026/05/CISA-logo-1536x314.png 1536w, https://krebsonsecurity.com/wp-content/uploads/2026/05/CISA-logo-782x160.png 782w" sizes="(max-width: 748px) 100vw, 748px" /></p> <p>5月18日，KrebsOnSecurity报道称，一名拥有该机构代码开发平台管理权限的CISA承包商创建了一个名为“<strong>Private-CISA</strong>”的公共GitHub个人资料，其中包含数十个CISA内部系统的明文凭证。审查过这些泄露机密的专家表示，代码仓库的提交日志显示，该CISA承包商禁用了GitHub内置的防止在公共仓库中发布敏感凭证的保护机制。</p> <p>CISA承认了此次泄露，但未回应关于数据暴露持续时间的问题。然而，审查过现已失效的Private-CISA存档的专家表示，该存档最初创建于2025年11月，并且呈现出一种模式，即一名个人操作员将该仓库用作工作草稿或同步机制，而非一个精心管理的项目仓库。</p> <p>在一份书面声明中，CISA表示“没有迹象表明任何敏感数据因该事件而遭到泄露”。但在5月19日致CISA代理局长<strong>Nick Andersen</strong>的一封信（PDF）中，<strong>参议员Maggie Hassan</strong>（D-NH）表示，此次凭证泄露引发了严重质疑：为何这种安全失误会发生在负责帮助防止网络入侵的机构身上？</p> <p>“这一报道引发了严重担忧，即在针对美国关键基础设施的重大网络安全威胁之际，CISA的内部政策和程序存在问题，”参议员Hassan写道。</p> <div id="attachment_73646" style="width: 818px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-73646" decoding="async" loading="lazy" class="size-full wp-image-73646" src="https://krebsonsecurity.com/wp-content/uploads/2026/05/HassanCISAletter.png" alt="" width="808" height="823" srcset="https://krebsonsecurity.com/wp-content/uploads/2026/05/HassanCISAletter.png 808w, https://krebsonsecurity.com/wp-content/uploads/2026/05/HassanCISAletter-768x782.png 768w, https://krebsonsecurity.com/wp-content/uploads/2026/05/HassanCISAletter-782x797.png 782w" sizes="(max-width: 808px) 100vw, 808px" /><p id="caption-attachment-73646" class="wp-caption-text">来自参议员Margaret Hassan（D-NH）于5月19日致CISA代理局长的信函要求就此次漏洞回答十几个问题。</p></div> <p>参议员Hassan指出，该事件发生在CISA内部发生重大动荡的背景下，该机构在特朗普政府迫使各部门进行一系列提前退休、买断和辞职后，失去了超过三分之一的工作人员以及几乎所有高级领导。</p> <p><strong>众议员Bennie Thompson</strong>（D-MS），众议院国土安全委员会资深成员，呼应了参议员的担忧。</p> <p>“我们担心这一事件反映出安全文化下降和/或CISA无法充分管理其合同支持，”Thompson在5月19日致CISA代理局长的信中写道，该信由<strong>众议员Delia Ramirez</strong>（D-Ill）共同签署，她是该委员会网络安全和基础设施保护小组委员会的资深成员。“我们的对手——如中国、俄罗斯和伊朗——寻求获取联邦网络的访问权限并保持持久存在，这已不是秘密。‘Private-CISA’仓库中的文件提供了实现这一目标所需的信息、访问途径和路线图。”</p> <p>KrebsOnSecurity了解到，在安全公司<strong>GitGuardian</strong>首次通知CISA数据泄露一周多后，该机构仍在努力使许多暴露的密钥和凭证失效并进行替换。</p> <p>5月20日，KrebsOnSecurity收到了<strong>Dylan Ayrey</strong>的来信，他是<strong>TruffleHog</strong>的创建者，这是一款用于发现托管在GitHub和其他公共平台上的代码中隐藏的私钥及其他机密的开源工具。Ayrey表示，CISA仍未使Private-CISA仓库中暴露的一个RSA私钥失效，该私钥授予了对一个GitHub应用的访问权限，该应用由CISA企业账户拥有，并安装在CISA-IT GitHub组织中，对所有代码仓库具有完全访问权限。</p> <p>“拥有此密钥的攻击者可以读取CISA-IT组织中每个仓库（包括私有仓库）的源代码，注册恶意自托管运行器以劫持CI/CD流水线并访问仓库机密，以及修改仓库管理设置，包括分支保护规则、webhooks和部署密钥，”Ayrey告诉KrebsOnSecurity。CI/CD代表持续集成和持续交付，它指的是一组用于自动化软件构建、测试和部署的实践。<span id="more-73638"></span></p> <p>KrebsOnSecurity于5月20日将Ayrey的发现通知了CISA。CISA确认收到了该报告，但未回应后续询问。Ayrey表示，CISA似乎在该通知后的某个时间点使暴露的RSA私钥失效。但他指出，CISA仍未轮换与部署在该机构技术组合中的其他关键安全技术相关的泄露凭证（KrebsOnSecurity暂时不公开这些技术的名称）。</p> <p>Ayrey表示，他的公司Truffle Security会监控GitHub及其他一些代码平台上的暴露密钥，并尝试向受影响的账户发出敏感数据泄露警报。他们可以在GitHub上轻松做到这一点，因为该平台发布了一个实时推送，其中包含所有公共代码仓库的提交和变更记录。但他表示，网络犯罪分子也在监控这些公共推送，并且经常迅速抢先在代码提交中无意发布的API或SSH密钥。</p> <div id="attachment_73615" style="width: 762px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-73615" decoding="async" loading="lazy" class="size-full wp-image-73615" src="https://krebsonsecurity.com/wp-content/uploads/2026/05/privatecisa-filelist.png" alt="Private CISA GitHub仓库暴露了数十个重要CISA GovCloud资源的明文凭证。文件名包括AWS-Workspace-Bookmarks-April-6-2026.html、AWS-Workspace-Firefox-Passwords.csv、Imp" /><p id="caption-attachment-73615" class="wp-caption-text">Private CISA GitHub仓库暴露了数十个重要CISA GovCloud资源的明文凭证。文件名包括AWS-Workspace-Bookmarks-April-6-2026.html、AWS-Workspace-Firefox-Passwords.csv、Imp