CISA 事后分析揭示 GitHub 凭证泄露持续六个月
CISA 对 GitHub 泄露事件的事后分析暴露了 844 MB 的内部数据,包括 AWS GovCloud 密钥,揭示该机构忽略了九个自动警报,并在 48 小时后才进行轮换...

执行摘要
一名为网络安全和基础设施安全局(CISA)工作的承包商在公共GitHub仓库中发布了844MB的敏感内部数据,包括三个AWS GovCloud服务器的管理凭证和数十个内部系统的明文用户名和密码,这些数据被泄露了近六个月,直到被报告。CISA于2026年7月13日发布的事后分析显示,该机构忽略了安全公司GitGuardian发出的九次自动警报,并在KrebsOnSecurity通知后超过48小时才轮换暴露的密钥。这一事件突显了影响所有组织(不仅仅是政府机构)的事件响应和秘密管理中的关键漏洞。
技术分析
2026年5月15日,GitGuardian研究员Guillaume Valadon请求KrebsOnSecurity帮助通知CISA关于一个名为“Private CISA”的公共GitHub仓库。该仓库包含844MB的数据,包括一个名为“importantAWStokens”的文件,其中包含三个亚马逊AWS GovCloud服务器的管理凭证,以及“AWS-Workspace-Firefox-Passwords.csv”,列出了数十个CISA内部系统的明文用户名和密码。根据CISA的事后分析,由代理首席信息官Preston Werntz和代理首席信息安全官Brad Libbey撰写,由于“该机构的系统复杂性以及与联邦和行业合作伙伴的互联互通”,该机构的密钥轮换比预期花费了更长的时间。
Valadon的公司GitGuardian不断扫描公共代码仓库以寻找暴露的秘密,并在KrebsOnSecurity通知之前向CISA发送了九次自动警报。“让九封通知邮件未得到回复,就是如何将一天的事件变成六个月的曝光,”Valadon在他对报告的分析中写道。该仓库在5月15日通知前大约公开了六个月。
CISA的事后分析承认,其事件响应手册中没有包括处理涉及GitHub或其他云服务的曝光程序。该机构还承认其报告渠道没有明确定义,导致Valadon尝试了多种途径——直接给承包商发邮件,通过CISA的漏洞披露平台提交(旨在披露产品漏洞,而不是内部事件),最终涉及一名记者。“在CISA的情况下,这些渠道没有明确定义,”报告中指出。
该机构归功于其增强的日志记录和零信任架构,使其能够确定没有客户或任务数据被曝光,泄露的凭证没有在CISA环境之外被使用。泄露秘密的承包商已被撤销系统访问权限。
缓解措施与建议
CISA的事后分析和Valadon的分析为安全团队提供了具体的教训。组织应持续扫描公共代码仓库以寻找暴露的秘密——季度扫描是不够的,正如六个月的曝光窗口所证明的。事件响应手册必须明确涵盖云服务曝光,包括GitHub,并为内部事件与产品漏洞定义清晰、独立的报告渠道。CISA建议在多个显眼位置发布报告指南,而不仅仅是标准的security.txt文件。该机构已轮换所有秘密,并创建了改进的开发人员秘密管理和监控的行动计划。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。
