GitHub公共仓库暴露CISA高权限账户凭证今年5月中旬美国网络安全与基础设施安全局CISA遭遇严重政府数据泄露事件。CISA一名承包商在GitHub上维护的公共代码仓库“Private - CISA”暴露了多个具有极高权限的AWS GovCloud账户凭证以及大量CISA内部系统的访问密钥。漏洞攻破技术链路与防守失误安全公司GitGuardian的研究人员Guillaume Valadon发现问题。从承包商的GitHub提交记录看他主动禁用了GitHub平台默认开启的“禁止在公开代码中发布密钥”功能。安全咨询公司Seralys的创始人Philippe Caturegli验证测试确认泄露的AWS密钥仍有效可对三个AWS GovCloud账户进行高权限访问。该仓库还暴露了CISA内部“artifactory”的明文凭证是恶意攻击者横向移动的目标。企业长期存在的安全问题承包商可能将GitHub仓库当作工作同步工具或个人“剪贴板”从2025年11月开始就定期提交内容。CISA在收到通知后迅速关闭仓库但暴露的AWS密钥在仓库下线后仍持续有效48小时暴露了其在密钥轮换和撤销机制上的迟钝。而且泄露的凭证中包含大量易猜测模式的密码这种密码策略本身就构成严重安全威胁。从更深层次看GitHub本身有密钥泄露检测和阻止功能承包商却主动禁用CISA没有建立针对承包商代码仓库的监控机制且在特朗普政府时期流失近三分之一员工导致监督和审计能力严重不足。事件的次生灾害与警示CISA发言人虽称目前无证据表明敏感数据被泄露但密钥持续有效48小时让这一说法难以令人信服。此次事件引发了安全行业对政府机构密钥管理和内部安全流程的审视。全行业应从中吸取教训加强对承包商代码仓库的监控充分利用安全工具的防护功能建立健全密钥轮换和撤销机制避免使用易猜测的密码策略。后续防御架构应升级加强对敏感信息的保护提升安全管理水平。编辑观点此次CISA数据泄露事件暴露出政府机构在安全管理上的严重漏洞行业需重视安全流程建设强化监督审计避免类似事件再次发生。