秘密 CISA 憑證可在公共 GitHub 儲存庫中找到

安全研究員 Brian Krebs 為我們帶來了消息，美國網路安全和基礎設施局 (CISA) 至少自 2025 年 11 月以來，在公共 GitHub 儲存庫中暴露了大量純文字密碼、SSH 私鑰、令牌和「其他敏感 CISA 資產」。

離線公共回購系統（有點雄心勃勃地稱為「Private-CISA」）是由 GitGuardian 的 Guillaume Valadon 引起 Krebs 的注意，他透過 GitGuardian 的公共代碼掃描得知該回購協議的存在。克雷布斯表示，在沒有收到 Private-CISA 倉庫所有者的回覆後，Valadon 聯繫了他。

在給 Krebs 的電子郵件中，Valadon 聲稱儲存庫提交日誌顯示 GitHub 針對秘密提交的預設保護（旨在保護不知情或不熟練的開發人員免受此類愚蠢行為的保護）已被儲存庫管理員停用。

Seralys 創辦人 Philip Catorigli 的測試表明，這不是惡作劇或騙局，他能夠使用 Private-CISA 儲存庫中的憑證以「高權限等級」存取多個 Amazon Web Services GovCloud 帳戶。

克雷布斯指出，回購作業似乎是由總部位於維吉尼亞州的 Nightwing（一家與 CISA 簽約的公司）所經營的。 Nightwing 尚未公開發表評論，而是將問題提交給 CISA。

這不是CISA第一次失敗，事實上，甚至不是第一次 今年。今年 1 月，未能通過測謊儀測試的 CISA 代理主任 Madhu Gottumukkala 在要求並獲得了禁止 CISA 員工使用 ChatGPT 的機構政策豁免後，將敏感的政府文件上傳到 ChatGPT。 Gottumukkala 在二月被解除職務。