全球最大的回旋镖！美国网络安全局被外包员工“公开偷家”

就在几天前，一个公开可访问的GitHub仓库泄露了美国政府AWS账户以及网络安全与基础设施安全局(CISA)内部系统的凭证。

这一消息来自网络安全记者Brian Krebs，他在周末率先爆料，线索则来自GitGuardian的研究员Guillaume Valadon。

Valadon在接受记者邮件采访时证实了这一信息。

根据该仓库的提交历史以及账户创建者本人写在仓库中的故障排查笔记，Valadon认为该仓库由一名CISA承包商运营，且该承包商在自己的个人GitHub账户上创建了这个仓库。

"这是一次严重的安全控制失效，因为敏感信息以明文形式存储并被提交到了Git仓库，而不是在运行时从密钥管理器中获取，"他写道，"而且本应保密的内部文档被推送到了个人开发者账户下的公开仓库中。"

GitGuardian是一家总部位于法国的安全服务公司，其产品可扫描包括GitHub在内的内部和外部来源，查找暴露的密钥。

5月14日，该公司发现了一个名为"Private-CISA"的公开GitHub仓库，该仓库自2025年11月13日起便已上线，包含844MB数据，包括Kubernetes配置文件、GitHub Actions工作流、内部文档备份、个人文档和运维脚本、明文密码、AWS令牌以及GitHub访问令牌。

好消息是：Valadon表示，GitHub事件数据显示该仓库从未被分叉(fork)，"这限制了影响范围。"

坏消息是：账户所有者没有立即回复Valadon的警告信息，这也是他去找Krebs爆料的原因。

Valadon还于5月14日将此次泄露报告给了美国计算机应急响应团队协调中心(CERT/CC)，次日又联系了CISA。当天晚上，该仓库便已下线。"我必须给CISA点个赞，他们迅速删除了这个仓库，"Valadon说，"我们大多数负责任的披露都要花更长的时间，而且很多问题最终都没有得到修复。能在一天之内让仓库下线，这工作效率令人印象深刻。"

"我曾在ANSSI(法国相当于CISA的机构)工作了九年，"Valadon补充道，"现在我在GitGuardian每天都在处理泄露事件，但这次绝对是我见过的最严重的之一。"

根据账户中的数据，Krebs认为该仓库由一家位于华盛顿特区地区、受CISA签约的网络安全公司运营。当记者致电该公司征求评论时，对方并未证实这一说法，而是将问题转给了CISA。

CISA发言人在回复置评请求的邮件中表示，该机构已知悉此次泄露事件，并正在持续调查中。"目前没有迹象表明任何敏感数据因该事件而遭到泄露，"他们写道，"虽然我们对团队成员秉持最高标准的诚信和操作规范要求，但我们正在努力确保落实额外的安全保障措施，以防止类似事件再次发生。"

GitHub仓库存在许多严重的安全问题，从威胁行为者创建的虚假仓库到因误设为公开访问而导致的合法账户，不一而足。就在上个月，Wiz的研究人员还发现了Git内部基础设施中的一个注入漏洞，该漏洞可能使黑客在GitHub后端服务器上执行任意命令。

就本次事件而言，问题出在人身上，GitHub仓库中可能包含账户创建者无意中加入的各类密钥，如令牌和凭证等，因此用户需要启用GitHub提供的全面保护机制和安全最佳实践，包括限制仓库访问权限。

CSO和CIO应该怎么做

在GitHub上暴露密钥"是一个严重且令人遗憾的常见问题。"SANS研究所研究院长Johannes Ullrich评论道。

但他也补充说，IT部门可以采取几个步骤来防止此类事件，首先，密码和API密钥等密钥必须进行集中管理，他承认，在全企业范围内实施密钥管理流程并非易事，"但这也是避免密钥被不当处理的最佳方案。"

其次，使用能够主动扫描用户系统和GitHub等公开服务中暴露密钥的工具。"这些产品对于强制执行任何涉及密钥安全处理的策略至关重要。"Ullrich说。

"就本次事件而言，问题似乎出在承包商身上，而非CISA本身，"他指出，"管理供应商关系非常重要，且必须包括关于如何处理用于访问内部系统和数据的密钥的协议。"

Enderle Group的资深顾问Robert Enderle指出，此类泄露事件发生的频率高得惊人。"开发者往往承受着快速交付代码的巨大压力，"他说，"个人仓库和工作仓库之间的界限很容易模糊，然而，对于一名与CISA——这个肩负着保卫国家基础设施使命的机构——签约的承包商来说，潜在的后果是灾难性的。将凭证暴露在公开的GitHub仓库中，就好比把国家网络防御的万能钥匙丢在公园长椅上。如果这些凭证被国家级行为体利用，可能会促成大规模供应链攻击，或对关键政府系统进行深度渗透。"

Enderle表示，为了降低这种风险，CSO和CIO必须停止仅依靠制度，而要实施强有力的自动化治理。"你不能指望人不犯错;你必须构建能捕获错误的系统。"他说。这意味着要强制部署自动化密钥扫描工具，在包含凭证或API密钥的提交进入仓库之前就主动将其拦截。他还表示，企业还需要严格区分个人和工作开发环境，全面强制实施多因素认证(MFA)，并采用零信任架构——即假设凭证终将会被泄露。

Valadon补充说，CSO和CIO应对所有内部仓库进行全面的密钥扫描，而不仅限于公开的GitHub账户，在密钥到达仓库之前就将其拦截，尽可能使用短期凭证，在敏感仓库中部署蜜罐令牌(如能迷惑好奇攻击者的虚假密码)，并清点组织代码的实际存放位置，包括检查是否存在于员工和承包商的个人GitHub账户中。