本周,美国网络安全领域的“守门人”——网络安全与基础设施安全局(CISA)经历了一次足以令其颜面扫地的安全危机。这家专门教导其他机构如何防范黑客的单位,竟然因为外包员工的低级错误,将大量核心系统的访问凭证直接公开在了 GitHub 上。
电子表格里的“核武器”
这次事件的“吹哨人”是知名安全机构 GitGuardian 的研究员 Guillaume Valadon。他在 GitHub 的一个公开仓库中发现了一些本不该出现在那里的电子表格。这些表格并非普通的文档,里面密密麻麻记录了 CISA 内部系统的明文登录凭证、云服务的 Access Tokens 以及关键的 Cloud Keys。
Valadon 在接受采访时透露,这些凭证的权限极高,足以直接进入 CISA 及其上级部门国土安全部(DHS)的内部系统。为了验证这些 Key 的有效性,他亲自进行了测试,结果令人心惊:这些密钥全部处于可用状态。更离谱的是,这些敏感信息被直接写在了没有任何防护的电子表格里,这种做法完全违背了 CISA 自己推行的“最佳安全实践”。
沟通断层与安全漏洞
其实,Valadon 并不是第一时间就把事情搞大的。他最初尝试联系负责维护该 GitHub 环境的 CISA 承包商,但对方一直没有任何回应。在这种极度不负责任的沉默下,他不得不向资深安全记者 Brian Krebs 寻求帮助,这才最终推动了漏洞的修补和曝光。
CISA 发言人 Marco DiSandro 随后证实了这一事件,称该机构已经知晓相关的暴露风险,并正在展开深入调查。官方目前的统一口径是:“目前没有迹象表明有任何敏感数据因这一事件而遭到泄露。”但明眼人都看得出来,这种说法更像是在紧急公关。毕竟,如果不是安全研究员抢先一步,这些 Key 一旦落入恶意黑客手中,后果将是灾难性的。
CISA 的“内忧外患”
这件事之所以让网安圈炸锅,是因为 CISA 的身份太特殊了。作为美国联邦政府的网安指挥中心,CISA 长期以来都在倡导“Secure by Design(设计即安全)”,并严禁在代码仓库或明文文档中存储密码。然而,这次“灯下黑”事件直接打脸了其内控流程。
事实上,CISA 近一年的日子并不好过。自 2025 年 1 月 20 日前局长 Jen Easterly 离职以来,该机构一直处于正式领导层缺失的状态。受限于政策调整和预算削减,CISA 已经流失了约三分之一的员工。在这种动荡的背景下,承包商管理松懈、安全意识滑坡,似乎成了某种必然的结果。
对于技术人员来说,这又是一次典型的 Credential Leaking 案例。即便你拥有最先进的防火墙和入侵检测系统,如果一个外包员工为了图省事把 AWS GovCloud 的 Key 贴在 GitHub 上,所有的防线都会瞬间崩塌。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️