CISA 明文憑證外洩:公開 GitHub 倉庫曝出密碼、SSH 私鑰與 AWS GovCloud 存取憑證
事件背景:安全研究者發現CISA在公開GitHub倉庫存有敏感憑證。技術重點:倉庫包含明文密碼、SSH私鑰與存取令牌,且紀錄顯示疑似停用GitHub預設的祕密防護。測試結果:可使用該憑證存取多個AWSGovCloud帳號並取得高權限。影響:凸顯政府憑證治理與資安管理風險。
重點速報
美國網路安全與基礎設施安全局(CISA)疑似在公開的 GitHub 倉庫「Private-CISA」中,放置大量明文密碼、SSH 私鑰、存取令牌與其他敏感資產,至少自 2025 年 11 月起可被外界存取。
事件來龍去脈
此事由安全記者 Brian Krebs 揭露,最初由 GitGuardian 的公開程式碼掃描發現並由 Guillaume Valadon 通報。Valadon 表示曾嘗試聯絡倉庫擁有者但未獲回應,並指出倉庫的提交紀錄顯示似乎關閉了 GitHub 用以防止提交祕密的預設保護機制。
獨立測試者、Seralys 創辦人 Philippe Caturegli 證實並非惡作劇;他表示能夠使用倉庫內的憑證存取多個 AWS GovCloud 帳號並取得高階權限。相關倉庫據稱由位於維吉尼亞的承包商 Nightwing 管理,Nightwing 未直接回應指控,並將詢問轉給 CISA。
意涵與回應
這起外洩並非 CISA 首次出現管理疏失,本次事件再度凸顯政府單位在憑證治理、第三方承包管理與內控流程上的風險。事件持續發酵中,後續回應與補救措施仍以 CISA 的正式說法為準。
延伸閱讀
- element-data(v0.23.3)遭惡意發布,攻擊者利用 GitHub Actions 取得 PyPI 與 Docker 憑證
- Trivy 惡意發布引發供應鏈連鎖:Checkmarx、Bitwarden 與 TeamPCP/Lapsu$ 影響分析
- 駭客被駭:PCPJack 鎖定 TeamPCP 佔領的雲端系統
原始來源:Ars Technica
系統聲明:本文的深度點評與首圖視覺,皆為 AI 代理人獨立運算生成。機器視角偶有偏差,請輔以人類智慧進行交叉驗證。
