CISA Admin Leaked AWS GovCloud Keys on GithubCISA Admin Leaked AWS GovCloud Keys on Github

直到上周末，网络安全和基础设施安全局（CISA）的一名承包商仍维护着一个公开的 GitHub 仓库，其中泄露了多个高度特权 AWS GovCloud 账户的凭证以及大量内部 CISA 系统的访问信息。安全专家指出，该公开档案包含详细说明 CISA 如何在内网构建、测试和部署软件的文件，堪称近年来最严重的政府数据泄露事件之一。

5 月 15 日，克雷布斯新闻网收到来自 GitGuardian 安全公司研究员 Guillaume Valadon 的消息。该公司持续扫描 GitHub 等公共代码库中的暴露密钥，并自动向涉及敏感数据泄露的账户发出警报。Valadon 表示，他之所以联系是因为涉事账号未回应，且所泄露的信息极为敏感。

由 CISA 承包商维护的现已失效“Private CISA”仓库的脱敏截图。

Valadon 标记的 GitHub 仓库名为“Private-CISA”，其中存储了大量内部 CISA/DHS 的凭证和相关文件，包括云密钥、令牌、明文密码、日志及其他敏感资产。

Valadon 指出，此次泄露的 CISA 凭证是典型的安全卫生缺失案例——涉事 GitHub 账号的提交记录显示，CISA 管理员已禁用 GitHub 默认阻止用户发布 SSH 密钥或其他机密信息的设置。

Valadon 在一封邮件中写道：“密码以明文形式存储在 CSV 文件中，Git 中有备份，还明确执行了关闭 GitHub 机密检测功能的命令。”他坦言，在深入分析内容前，自己一度认为这些都是伪造的。“这确实是我职业生涯中见过的最糟糕的数据泄露事件。显然是个人失误所致，但我认为它可能暴露出某些内部操作实践问题。”

其中一个名为“importantAWStokens”的泄露文件包含了三个 Amazon AWS GovCloud 服务器的管理凭证。另一个在公开 GitHub 仓库中暴露的文件——“AWS-Workspace-Firefox-Passwords.csv”——列出了数十个内部 CISA 系统的用户名和密码（均为明文）。据 Caturegli 所述，这些系统包括一个名为“LZ-DSO”的系统，其名称似乎是“Landing Zone DevSecOps”（着陆区 DevSecOps）的缩写，即该机构的安全代码开发环境。

安全咨询公司 Seralys 创始人 Philippe Caturegli 表示，他曾测试过这些 AWS 密钥，仅用于验证其是否仍有效，并确定这些暴露账户可访问哪些内部系统。Caturegli 指出，泄露 CISA 机密的 GitHub 账号的使用模式表明，该仓库更像是个体操作员用作工作草稿或同步工具的临时存储区，而非经过精心管理的正式项目仓库。

Caturegli 观察到：“同时使用了与 CISA 关联的邮箱地址和个人邮箱地址，暗示该仓库可能在配置不同的环境中使用。”“仅凭现有的 Git 元数据无法确定具体使用了哪个端点或设备。”

Private CISA GitHub 仓库暴露了数十个重要 CISA GovCloud 资源的明文凭证。

Caturegli 表示，他验证了这些泄露的凭证可以以高级权限身份验证访问三个 AWS GovCloud 账户。他还指出，该存档中包含了美国网络安全和基础设施安全局（CISA）内部“artifactory”系统的明文凭证——这实际上是一个存储他们用于构建软件的所有代码包的仓库——这对恶意攻击者来说极具吸引力，因为他们正试图在 CISA 系统中建立持久立足点。

“那将是横向移动的理想跳板，”他说。“在这些软件包中植入后门，每次他们构建新系统时都会部署你的后门。”

针对相关提问，CISA 发言人表示，该机构已意识到此次暴露事件，并正在继续调查情况。

CISA 发言人在书面回复中写道：“目前尚无迹象表明敏感数据因本次事件而遭到泄露。尽管我们对团队成员始终秉持最高标准的诚信和操作警觉性，但我们正在努力确保实施额外的防护措施，以防止类似事件再次发生。”

对 GitHub 账户及其泄露密码的审查显示，“Private CISA” 仓库由弗吉尼亚州杜勒斯市一家名为 Nightwing 的政府承包商员工维护。Nightwing 拒绝置评，并将询问转交 CISA。

CISA 尚未回应关于数据暴露可能持续时间的质询，但 Caturegli 表示，Private CISA 仓库创建于 2025 年 11 月 13 日。该承包商的 GitHub 账户则早在 2018 年 9 月就已注册。

在被 KrebsOnSecurity 和 Seralys 两家媒体通知 CISA 后，包含 Private CISA 仓库的 GitHub 账户很快被下线。但 Caturegli 表示，令人费解的是，暴露的 AWS 密钥仍有效长达 48 小时。

目前 CISA 的预算和人员配置仅为正常水平的很小一部分。自特朗普政府第二任期开始以来，该机构已流失近三分之一的员工，导致其各部门出现一系列提前退休、裁员和辞职现象。

现已失效的 Private CISA 仓库显示，该承包商还为其多个内部资源使用了极易猜测的密码；例如，许多凭证的密码格式为平台名称加上当前年份。Caturegli 指出，即便这些凭证从未对外公开，此类做法对任何组织而言都构成严重安全威胁，因为攻击者通常会利用在初始入侵后从内网获取的关键凭证进一步扩大控制范围。

Caturegli 表示：“我推测的情况是，这位 CISA 承包商使用 GitHub 在工作笔记本电脑和家庭电脑之间同步文件，因为他自 2025 年 11 月起就定期向该仓库提交代码。这对任何公司来说都是尴尬的数据泄露，但在 CISA 的情况下尤为严重。”