美国网络安全机构将其数字密钥公开暴露在GitHub上

# “我见过的最严重泄露”：美国网络安全机构将其数字密钥公开暴露在GitHub上 来源：https://gizmodo.com/the-worst-leak-that-ive-witnessed-u-s-cybersecurity-agency-leaves-its-digital-keys-out-in-public-on-github-2000760330 美国网络安全和基础设施安全局（CISA）将其云存储账户的数字密钥以明文形式公开暴露了未知时长，据Krebs on Security的一份报告（https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/）称。该问题已于上周末得到修复，报告指出。 *想必这些秘密信息是藏在某个晦涩的文件夹里，名字也让人费解*，我听到你在说。据说该仓库名为“Private-CISA”。 *但里面的内容不可能那么敏感吧*，你反驳道。然而，内容包括密码、密钥和令牌——而密码是以.CSV文件的明文形式存在的。 CISA向Krebs发表声明称： > “目前，没有迹象表明此事件导致任何敏感数据泄露……虽然我们要求团队成员保持最高的诚信和操作意识标准，但我们正在努力确保实施额外的保障措施，以防止未来发生类似事件。” 该仓库创建于去年11月，因此漏洞持续时间大约为六个月——但也可能短得多，具体取决于哪些信息是在何时添加的。 提醒一下，CISA是国土安全部的一个相对较新的分支机构，在特朗普2.0时期整体处境艰难（https://www.nytimes.com/2026/02/22/us/politics/cyber-agency-dhs-security-setbacks.html），尽管在1.0时期，特朗普于2018年签署法案使其成立，实际上催生了CISA——抱歉跑题了，但特朗普为纪念该事件发表的演讲（https://trumpwhitehouse.archives.gov/briefings-statements/remarks-president-trump-signing-h-r-3359-cybersecurity-infrastructure-security-agency-act/）是特朗普诗意的绝佳范例，节选如下： > *“网络战场在演变——而且正在演变，不幸的是，演变速度比很多人愿意谈论的还要快。但这就是战场。因此，随着网络战场演变，这个新机构将确保我们应对来自国家行为体、网络犯罪者和其他恶意行为者的全方位威胁，而这些威胁很多。”* 无可争议，总统先生。战场就是战场。 总之，特朗普对CISA领导层在2020年大选至2021年1月6日期间提供的信息感到愤怒（https://www.npr.org/2020/11/17/936007888/trump-tweets-that-he-fired-top-cybersecurity-official-christopher-krebs），当时他正致力于推翻选举结果以利于自己。他解雇了自己任命的CISA局长（https://www.npr.org/2020/11/17/936003057/cisa-director-chris-krebs-fired-after-trying-to-correct-voter-fraud-disinformati），而再次上任后，他的CISA一直处于混乱闹剧之中（https://gizmodo.com/the-u-s-cybersecurity-agency-is-reportedly-in-polygraph-fueled-chaos-2000702364）。他迄今任命的两位代理局长均未获得参议院确认（https://www.politico.com/news/2026/02/26/madhu-gottumukkala-dhs-cisa-00803221），而且特朗普最近试图大幅削减CISA的资金（https://gizmodo.com/trumps-war-on-american-cybersecurity-ramps-up-with-planned-700-million-cuts-to-cisa-2000743499）。 现在，CISA的烦恼又添一桩：根据Krebs报告中对仓库内容的一种解读，一名为政府承包商Nightwing工作的个人员工正在使用GitHub将材料从工作设备转移到家用设备——有点像给自己发邮件，但甚至比那更不安全。 我不是联邦网络安全专家，但Krebs这条消息听起来像是我们作为公民不希望政府泄露的内容： > *“其中一个暴露的文件名为‘importantAWStokens’，包含三个Amazon AWS GovCloud服务器的管理凭据。另一个在他们公开的GitHub仓库中暴露的文件——‘AWS-Workspace-Firefox-Passwords.csv’——列出了数十个CISA内部系统的明文用户名和密码。据Caturegli称，这些系统包括一个名为‘LZ-DSO’的系统，似乎是‘Landing Zone DevSecOps’的缩写，即该机构的安全代码开发环境。”* Krebs关于泄露信息的消息来源是GitGuardian的Guillaume Valadon，该公司专门扫描GitHub上的机密信息，也就是说他的业务就是发现此类情况。Valadon告诉Krebs，这是“我职业生涯中见过的最严重的泄露”。