CISA承包商故意泄露AWS GovCloud密钥致数据泄露Lawmakers Demand Answers as CISA Tries to Contain Data Leak

本周KrebsOnSecurity报道称，一名CISA承包商在公开GitHub账户上故意发布了AWS GovCloud密钥和大量其他机构机密后，国会两院议员正要求美国网络安全与基础设施安全局（CISA）作出解释。此次质询正值CISA仍在努力遏制漏洞并作废泄露凭证之际。

5月18日，KrebsOnSecurity报道称，一名拥有CISA代码开发平台管理权限的承包商创建了名为“Private-CISA”的公开GitHub资料，内含数十个内部系统的明文凭证。审查暴露数据的专家指出，该代码仓库的提交日志显示，该承包商禁用了GitHub对敏感凭证在公开仓库中发布的内置防护功能。

CISA承认了泄露事件，但未回应数据暴露持续时长的问题。然而，审查已失效的Private-CISA存档的专家表示，该仓库最初创建于2025年11月，其模式更符合个人操作者将其作为工作草稿或同步机制而非精心策划的项目仓库使用。

CISA在一份书面声明中表示“目前无证据表明任何敏感数据因事件遭到破坏”。但5月19日，参议员Maggie Hassan（D-NH）致函CISA代理局长Nick Andersen（PDF文件），指出此类安全疏漏发生在本应预防网络攻击的机构身上，引发严重质疑。

“在美国关键基础设施面临重大网络安全威胁之际，此报告暴露出CISA内部政策和程序的严重问题，”Hassan参议员写道。

5月19日，Margaret Hassan（D-NH）参议员致信CISA代理局长，就漏洞事件提出十二项质询。

Hassan参议员指出，此次事件发生之际，CISA正经历内部动荡——特朗普政府迫使各分部实施提前退休、买断和辞职后，该局超过三分之一员工及几乎所有高层领导离职。

众议院国土安全委员会民主党领袖Bennie Thompson（D-MS）呼应了参议员的担忧。

“我们担心此事反映出CISA安全文化的削弱/或无法有效管理合同支持，”Thompson在5月19日致CISA代理局长的信中写道，该信由网络安全与基础设施保护小组委员会民主党领袖Delia Ramirez（D-Ill）联署。“众所周知，中国、俄罗斯和伊朗等对手试图获取联邦网络访问权限并持久驻留。‘Private-CISA’仓库中的文件恰恰提供了实现这一目标的信息、途径和路线图。”

KrebsOnSecurity获悉，安全公司GitGuardian首次通报数据泄露一周后，CISA仍在继续作废和替换大量暴露的密钥与秘密。

5月20日，KrebsOnSecurity收到了TruffleHog的创建者Dylan Ayrey的来信。TruffleHog是一个用于在GitHub等公共平台上发现的代码中挖掘私钥和其他秘密的开源工具。Ayrey表示，CISA仍未撤销Private-CISA仓库中暴露的RSA私钥，该私钥允许访问由CISA企业账户所有并安装在CISA-IT GitHub组织上的GitHub应用，且拥有对所有代码仓库的完整访问权限。

“攻击者持有此密钥可以读取CISA-IT组织中所有仓库（包括私有仓库）的源代码，注册恶意的自托管Runner以劫持CI/CD管道并访问仓库秘密，还能修改仓库管理员设置，包括分支保护规则、Webhook和部署密钥，”Ayrey向KrebsOnSecurity表示。CI/CD即持续集成与持续交付，指的是一组用于自动化软件构建、测试和部署的实践方法。

KrebsOnSecurity于5月20日向CISA通报了Ayrey的发现。CISA确认收到报告，但未对后续询问作出回应。Ayrey称，CISA似乎在通知后撤销了暴露的RSA私钥。但他指出，CISA仍未轮换其技术组合中其他关键安全技术的泄露凭证（目前KrebsOnSecurity暂不公开这些技术名称）。

Ayrey表示，他的公司Truffle Security监控GitHub及其他多个代码平台，以寻找暴露的密钥，并尝试向受影响账户发出敏感数据泄露警报。由于GitHub平台会发布实时动态，记录所有公有代码仓库的提交和更改，他们可以轻松实现这一操作。但他指出，网络犯罪分子也在监控这些公开动态，并常迅速利用意外发布在代码提交中的API或SSH密钥。

Private-CISA GitHub仓库暴露了数十个明文凭证，涉及重要的CISA GovCloud资源。

实际上，网络犯罪集团或外国对手很可能也已注意到这些CISA秘密的公开，其中最严重的事件似乎发生在2025年4月下旬，Ayrey表示。

“我们监控这些数据流中的密钥，并拥有工具来确定它们属于谁，”他说。“我们有证据表明攻击者也在监控这个数据流。任何监控GitHub事件的人都可能已掌握这些信息。”

Risky Business安全播客的企业技术编辑James Wilson表示，使用GitHub管理代码项目的组织可制定自上而下的政策，防止员工禁用GitHub对发布密钥和凭证的保护措施。但Wilson的合主持人Adam Boileau表示，尚不清楚任何技术能阻止员工用自己的个人账户存储敏感和专有信息。

“最终，这无法通过技术手段解决，”本周播客中Boileau说道。“这是人为问题：你雇佣承包商完成工作，他们自行决定将内容从工作机器同步到家用机器。鉴于这种操作显然不在CISA管理或监控范围内，我不知道可以实施哪些技术控制。”