一个名为"Private-CISA"的GitHub公开仓库,暴露了美国网络安全与基础设施安全局(CISA)高度敏感的内部凭证和系统信息。安全研究人员确认了这一泄露的真实性,称其为近年来最严重的政府数据泄露事件之一。
安全研究员Guillaume Valadon发现该仓库后,通过KrebsOnSecurity尝试联系仓库维护者未果。仓库中包含的内容包括:AWS GovCloud三个账户的管理凭证、AWS访问密钥、AWS令牌(包括名为"importantAWStokens"的文件)、CISA内部系统的明文用户名和密码、"AWS-Workspace-Firefox-Passwords.csv"登录凭证文件、内部系统"LZ-DSO"(Landing Zone DevSecOps)的凭证、CISA/DHS内部系统认证凭证、内部Artifactory软件仓库的凭证,以及公开仓库中的SSH密钥。
Valadon表示,该档案详细记录了CISA内部构建和部署软件的方式,"这是我职业生涯中见过的最严重的泄露"。他在给KrebsOnSecurity的信中称,最初以为整个数据库是假的,因为内部文件的敏感程度实在太高。"这显然是个人的失误,但我相信这可能暴露出内部实践的问题。"
多名安全研究人员确认了泄露的真实性,并表示其中至少部分凭证是有效的。他们联系CISA后,该仓库已被锁定。CISA发言人回应称:"目前没有迹象表明任何敏感数据因此次事件被泄露。虽然我们对团队成员要求最高的诚信和操作意识标准,但我们正在努力确保实施额外的保障措施以防止未来发生类似事件。"
研究人员后续确认,该仓库由名为Nightwing的政府承包商维护。Nightwing拒绝置评,将所有询问转给CISA。目前尚不清楚该仓库公开了多长时间。
热门跟贴