CISA管理员在Github上泄露了AWS GovCloud密钥

<p>直到上周末，一名<strong>网络安全与基础设施安全局</strong>（CISA）的承包商维护着一个公开的<strong>GitHub</strong>仓库，该仓库暴露了多个高权限<strong>AWS GovCloud</strong>账户的凭据以及大量CISA内部系统的信息。安全专家表示，这些公开档案包含了CISA内部如何构建、测试和部署软件的详细文件，这是近年来最严重的政府数据泄露事件之一。</p> <p>5月15日，KrebsOnSecurity收到了安全公司<strong>GitGuardian</strong>的研究员<strong>Guillaume Valadon</strong>的来信。Valadon所在的公司持续扫描GitHub及其他平台上的公共代码仓库，寻找暴露的机密，并自动通知违规账户任何明显的敏感数据泄露。Valadon表示他主动联系是因为在此案例中，仓库所有者未作出回应，而泄露的信息高度敏感。</p> <div id="attachment_73614" style="width: 759px" class="wp-caption aligncenter"><a href="https://krebsonsecurity.com/wp-content/uploads/2026/05/privatecisa.png" target="_blank" rel="noopener"><img aria-describedby="caption-attachment-73614" decoding="async" class="wp-image-73614" src="https://krebsonsecurity.com/wp-content/uploads/2026/05/privatecisa.png" alt="" width="749" height="353" srcset="https://krebsonsecurity.com/wp-content/uploads/2026/05/privatecisa.png 1765w, https://krebsonsecurity.com/wp-content/uploads/2026/05/privatecisa-768x362.png 768w, https://krebsonsecurity.com/wp-content/uploads/2026/05/privatecisa-1536x723.png 1536w, https://krebsonsecurity.com/wp-content/uploads/2026/05/privatecisa-782x368.png 782w" sizes="(max-width: 749px) 100vw, 749px" /></a><p id="caption-attachment-73614" class="wp-caption-text">已故“Private CISA”仓库的截图（经处理），该仓库由一名CISA承包商维护。</p></div> <p>Valadon标记的GitHub仓库名为“<strong>Private-CISA</strong>”，其中包含大量内部CISA/DHS凭据和文件，包括云密钥、令牌、明文密码、日志及其他敏感CISA资产。</p> <p>Valadon表示，暴露的CISA凭据是安全卫生差的典型例子，并指出该GitHub账户的提交日志显示，这名CISA管理员禁用了GitHub中阻止用户在公共代码仓库中发布SSH密钥或其他机密的默认设置。</p> <p>“密码以明文存储在csv文件中，Git中有备份，还显式命令禁用了GitHub的机密检测功能，”Valadon在一封电子邮件中写道。“在深入分析内容之前，我真的以为这一切都是假的。这的确是我职业生涯中见过的最大泄漏。这显然是个人的错误，但我认为它可能揭示了内部操作实践。”</p> <p>其中一份暴露的文件名为“importantAWStokens”，包含了三个亚马逊AWS GovCloud服务器的管理凭据。另一个在其公共GitHub仓库中暴露的文件——“AWS-Workspace-Firefox-Passwords.csv”——列出了数十个CISA内部系统的明文用户名和密码。据Caturegli称，这些系统包括一个名为“LZ-DSO”的系统，似乎是“Landing Zone DevSecOps”的缩写，即该机构的安全代码开发环境。</p> <p>安全咨询公司<strong>Seralys</strong>的创始人<strong>Philippe Caturegli</strong>表示，他测试了AWS密钥，只是为了验证它们是否仍然有效，并确定暴露的账户可以访问哪些内部系统。Caturegli指出，暴露CISA机密的GitHub账户表现出一种模式：该仓库被用作个人工作草稿或同步工具，而非经过精心编排的项目仓库。</p> <p>“同时使用CISA关联的电子邮件地址和个人电子邮件地址表明，该仓库可能在不同的配置环境中使用，”Caturegli观察到。“仅从可用的Git元数据无法证明使用了哪个端点或设备。”</p> <div id="attachment_73615" style="width: 762px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-73615" decoding="async" loading="lazy" class="size-full wp-image-73615" src="https://krebsonsecurity.com/wp-content/uploads/2026/05/privatecisa-filelist.png" alt="" width="752" height="329" /><p id="caption-attachment-73615" class="wp-caption-text">Private CISA GitHub仓库暴露了多个重要CISA GovCloud资源的明文凭据。</p></div> <p>Caturegli证实，暴露的凭据能够以高权限级别通过三个AWS GovCloud账户进行身份验证。他还表示，该档案还包含CISA内部“artifactory”（即用于构建软件的所有代码包仓库）的明文凭据——这将是恶意攻击者寻找在CISA系统中维持持久性存在的绝佳目标。</p> <p>“那将是横向移动的最佳场所，”他说。“向某些软件包植入后门，每次他们构建新东西时，你的后门就会左右被部署。”</p> <p>针对问题，CISA发言人表示该机构已知悉报告的数据泄露事件，并正在继续调查相关情况。</p> <p>“目前没有迹象表明任何敏感数据因此事件而遭到泄露，”CISA发言人在书面回复中写道。“虽然我们要求团队成员秉持最高标准的诚信和操作意识，但我们正在努力确保障增额外的安全措施，以防止未来再次发生类似事件。”</p> <p>对GitHub账户及其泄露密码的审查显示，“Private CISA”仓库由一名受雇于<strong>Nightwing</strong>的承包商维护，Nightwing是一家总部位于弗吉尼亚州杜勒斯的政府承包商。Nightwing拒绝置评，并将询问转至CISA。</p> <p>CISA尚未回应有关数据泄露持续时间的询问，但Caturegli表示Private CISA仓库创建于2025年11月13日。该承包商的GitHub账户早在2018年9月就已创建。</p> <p>包含Private CISA仓库的GitHub账户在KrebsOnSecurity和Seralys向CISA通报该事件后不久便被关闭。但Caturegli表示，暴露的AWS密钥在接下来的48小时内仍然有效，原因不明。</p> <p>现已失效的Private CISA仓库显示，该承包商对多个内部资源使用了易于猜解的密码；例如，许多凭据使用的密码由平台名称后加当前年份组成。Caturegli表示，即使这些凭据从未对外暴露，这种做法也会对任何组织构成严重的安全威胁，并指出威胁行为者在获得目标系统的初始访问权限后，常利用暴露在内部网络的关键凭据来扩大其访问范围。</p> <p>“我怀疑的情况是[这名CISA承包商]使用这个GitHub在工作笔记本和家用电脑之间同步文件，因为他从2025年11月开始定期向该仓库提交，”Caturegli说。“这对任何公司来说都是令人尴尬的泄漏，但在此案中更为严重，因为它是CISA。”</p>