CISA承包商在GitHub泄露AWS GovCloud密钥

一名为美国网络安全和基础设施安全局（CISA）工作的承包商，在公开的GitHub仓库中暴露了高权限的AWS GovCloud凭据、明文密码和内部系统令牌，时间长达约六个月。安全研究人员称这是近年来最严重的政府数据泄露事件之一。

这个名为“Private-CISA”的仓库自2025年11月起活跃，其中包含三个AWS GovCloud服务器的管理员凭据、数十个CISA内部系统的明文用户名和密码、云令牌，以及描述CISA内部如何构建、测试和部署软件的文件。据最早报道此事的KrebsOnSecurity称，该仓库已于本周末下线。

泄露规模

GitGuardian安全研究员Guillaume Valadon发现该泄露，并向KrebsOnSecurity表示这是“我职业生涯中见过的最大规模泄露”。网络安全咨询公司Seralys的Philippe Caturegli独立确认，暴露的密钥可以高权限认证到三个AWS GovCloud账户。

其中一个暴露的文件名为“importantAWStokens”，包含GovCloud服务器的管理凭据。另一个文件“AWS-Workspace-Firefox-Passwords.csv”列出了数十个CISA内部系统的明文用户名和密码。该承包商还禁用了GitHub内置的密钥检测功能，该功能本应标记这些凭据。

承包商身份确认，密钥仍持续有效

该仓库追踪到政府承包商Nightwing的一名员工，他显然使用该仓库在工作和家庭电脑之间同步文件。在KrebsOnSecurity和Seralys通知CISA后，该仓库于周末下线，但暴露的AWS密钥据称在通知后又持续有效了48小时。

CISA表示未发现被利用的证据，但正在调查此事。安全专业人士对撤销凭据的延迟表示担忧，认为该仓库公开了大约六个月，可能已被自动凭证收集工具抓取。