文章总结： CISA承包商在公开GitHub仓库泄露AWSGovCloud管理员凭证及内部系统明文密码，专家验证凭证有效可访问高权限云资源。事件暴露禁用秘密检测、明文存储密钥等安全实践缺陷。建议启用代码平台敏感信息扫描、避免硬编码凭证、定期轮换密钥并加强承包商安全管理。 综合评分： 78 文章分类： 数据泄露,云安全,供应链安全,安全意识,安全运营

CISA管理员泄露了AWS GovCloud密钥在Github上【机翻】

krebsonsecurity krebsonsecurity

安天垂直响应平台

2026年5月19日 14:30 北京

在小说阅读器读本章

去阅读

点击上方”蓝字”

关注我们吧！

原文题目：CISA Admin Leaked AWS GovCloud Keys on Github

最后更新时间：2026-05-18

原文链接：https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/#more-73607

本文是来自KrebsOnSecurity官网内容的机译，仅供交流学习，不代表我们认同其内容和立场。以下为机译内容：

直到上周末，网络安全与基础设施安全局（CISA）的一家承包商维护了一个公开的GitHub仓库，向多个高度特权的AWS GovCloud账户和大量内部CISA系统公开了凭证。安全专家表示，公共档案中包含了CISA如何在内部构建、测试和部署软件的文件，这代表了近年来最严重的政府数据泄露事件之一。

5月15日，KrebsOnSecurity 收到了安全公司GitGuardian 研究员 Guillaume Valadon 的采访。Valadon 的公司不断扫描 GitHub 及其他地方的公开代码仓库，寻找暴露的机密，自动提醒相关账户任何明显的敏感数据暴露。瓦拉顿表示，他之所以联系是因为本案的车主没有回应，而且泄露的信息极为敏感。

图1 一张已停用的“私人CISA”仓库的涂黑截图，该仓库由CISA承包商维护。

Valadon 标记的 GitHub 仓库名为“Private-CISA”，它存储了大量内部CISA/DHS 凭证和文件，包括云密钥、令牌、明文密码、日志及其他敏感的 CISA 资产。

Valadon 表示，暴露的 CISA 凭证是安全卫生失范的典型例子，并指出涉事 GitHub 账户的提交日志显示，CISA 管理员禁用了 GitHub 中阻止用户在公共代码仓库发布 SSH 密钥或其他秘密的默认设置。

瓦拉顿在邮件中写道：“密码以纯文本存储在csv中，备份在git中，使用显式命令禁用GitHub秘密检测功能。”“说实话，在深入分析内容之前，我一直以为那都是假的。这确实是我职业生涯中见过的最严重的泄密事件。这显然是个人的错误，但我相信这可能揭示内部的做法。”

其中一个名为“importantAWStokens”的文件包含了三台亚马逊AWS GovCloud服务器的管理员凭据。他们公开的GitHub仓库中曝光的另一个文件——“AWS-Workspace-Firefox-Passwords.csv”——列出了数十个内部CISA系统的明文用户名和密码。据卡图雷利称，这些系统中包括一个名为“LZ-DSO”的系统，该系统似乎是“Landing Zone DevSecOps”的缩写，是该机构的安全代码开发环境。

安全咨询公司Seralys的创始人Philippe Caturegli表示，他测试AWS密钥只是为了确认它们是否仍然有效，并确定暴露账户可以访问哪些内部系统。Caturegli表示，泄露CISA秘密的GitHub账户表现出一种模式，与某个操作员将该仓库作为工作中的临时备份或同步机制，而非策划的项目仓库相符。

Caturegli 观察到：“同时使用与 CISA 相关的电子邮件地址和个人邮箱地址，表明该仓库可能曾在不同配置的环境中使用。”“仅凭可用的Git元数据无法证明使用的终端或设备。”

图2 私密CISA的GitHub仓库暴露了数十个重要CISA GovCloud资源的明文凭据

Caturegli 表示，他验证了这些暴露的凭证能够以高权限级别认证三个 AWS GovCloud 账户。他说，该档案还包含了CISA内部“artifactory”的明文凭证——本质上是他们用于构建软件的所有代码包的仓库——这将成为恶意攻击者在CISA系统中保持持续立足点的极佳目标。

“那将是一个理想的横向调动地点，”他说。“有些软件包里有后门，每次他们开发新东西时都会左右右布置你的后门。”

针对相关提问，CISA发言人表示，机构已知晓报告的暴露情况，并正在继续调查此事。

CISA发言人写道：“目前没有迹象表明此次事件导致任何敏感数据被泄露。”“虽然我们要求团队成员遵守最高的诚信和运营意识标准，但我们正努力确保实施更多保障措施，以防止未来发生。”

对GitHub账户及其泄露密码的审查显示，“Private CISA”仓库由位于弗吉尼亚州杜勒斯的政府承包商Nightwing的一名员工维护。Nightwing拒绝置评，并将相关问题转交给CISA。

CISA尚未回应关于数据泄露潜在持续时间的问题，但Caturegli表示，私有CISA仓库于2025年11月13日创建。承包商的GitHub账户是在2018年9月创建的。

包含私密CISA仓库的GitHub账户在KrebsOnSecurity和Seralys通知CISA曝光后不久被下线。但Caturegli表示，暴露的AWS密钥莫名其妙地在48小时内仍然有效。

CISA目前仅以正常预算和人员水平的一小部分运作。自第二届特朗普政府开始以来，该机构已流失近三分之一的员工，该政府迫使机构各部门经历一系列提前退休、收购和辞职。

现已停用的Private CISA回收显示，该承包商还为多个内部资源使用了易于猜测的密码;例如，许多凭证使用了由每个平台名称和当前年份组成的密码。卡图雷利表示，即使这些凭证从未被外部泄露，这种做法对任何组织来说都是严重的安全威胁，他指出威胁行为者常利用内部网络中暴露的关键凭证来扩大其影响力，尤其是在建立初步访问目标系统后。

卡图雷利说：“我怀疑[CISA承包商]利用这个GitHub来同步工作笔记本和家用电脑之间的文件，因为他自2025年11月以来一直定期承诺使用这个仓库。”“这对任何公司来说都是尴尬的泄密，但这次更尴尬，因为这是CISA。”

参考链接

[1] krebsonsecurity ：CISA Admin Leaked AWS GovCloud Keys on Github

https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/#more-73607

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安天垂直响应平台 krebsonsecurity krebsonsecurity《CISA管理员泄露了AWS GovCloud密钥在Github上【机翻】》