据安全研究员Brian Krebs报道,美国网络安全和基础设施安全局(CISA)发生了一起严重的安全事件。大量属于该机构的明文密码、SSH私钥、访问令牌以及其他敏感资产,被暴露在一个公开的GitHub代码仓库中。
这个代码仓库的名称颇具讽刺意味——Private-CISA。发现该事件的GitGuardian研究员Guillaume Valadon指出,这个仓库自2025年11月以来就一直处于公开可访问状态。这意味着,这些本该被严格管控的核心凭证,在长达数月的时间里对互联网上的任何人完全敞开大门。目前,该仓库已被下线。
GitHub默认防护遭人为关闭
事件的细节暴露出这并非一次简单的操作失误。GitHub平台为了防止开发者无意中将敏感信息硬编码到代码中,提供了默认的防密钥提交保护机制(push protection)。这项功能专门针对缺乏经验或粗心的开发者设计,当系统检测到提交内容中包含类似密码或私钥的字符串时,会自动拦截并发出警告。
然而,Valadon在给Krebs的邮件中明确表示,该仓库的提交日志显示,管理员主动禁用了这项默认保护机制。在开启状态本可避免失误的情况下,人为关闭安全防线,直接排除了"误操作"的可能,使得这起泄露事件显得尤为荒谬。
凭证泄露的具体危害
要理解这次事件的严重性,需要明确泄露资产的具体用途。SSH私钥是用于服务器身份验证和加密通信的密钥文件,拥有私钥意味着可以绕过密码验证直接登录目标服务器;访问令牌则相当于数字通行证,持有者可以凭此访问特定的API接口或内部系统;而明文密码的暴露更是直接交出了系统大门的钥匙。
这些敏感信息的组合暴露,意味着潜在的攻击者不仅可以读取CISA的内部通信数据,甚至可能以此为跳板,获取关键基础设施的后台管理权限。
从发现到曝光的过程
GitGuardian主要通过其公共代码扫描系统来监控代码托管平台上的敏感信息泄露。该系统在常规扫描过程中捕捉到了Private-CISA仓库的异常。Valadon在发现后,第一时间尝试联系该仓库的所有者,但未得到任何回应。出于对信息持续暴露风险的担忧,Valadon最终选择将线索交给了Krebs,希望通过公开曝光促使CISA采取行动。
作为美国联邦政府负责网络安全的核心机构,CISA承担着保护联邦网络和关键基础设施免受网络威胁的职责。当监管者自身的安全凭证以最缺乏保护的形式暴露在公共平台上时,其带来的信任危机远超技术层面的失误。这起事件再次证明,在复杂的软件开发与协作流程中,凭证管理始终是最容易出问题的环节,专业的安全机构同样无法对低级错误免疫。