5月18日,KrebsOnSecurity披露了一起令人瞠目的安全事件:美国网络安全与基础设施安全局(CISA)的一名承包商在GitHub上创建了名为"Private-CISA"的公开仓库,明文存储了数十个内部系统的访问凭证,包括AWS GovCloud密钥。更离谱的是,专家发现该承包商主动禁用了GitHub的敏感信息保护功能。

这个仓库创建于2025年11月,运行模式不像正规项目库,倒像个人随手记事的草稿本——用来同步工作进度。仓库现已删除,但暴露时长不明。CISA的回应堪称经典:"没有迹象表明敏感数据已被泄露。"

打开网易新闻 查看精彩图片

国会议员不买账。新罕布什尔州民主党参议员Maggie Hassan在5月19日的质询信中直指要害:负责防范网络入侵的联邦机构,居然连自家的内部政策都管不好。她特别提到背景——特朗普政府推动的早期退休、买断和辞职潮后,CISA流失了超过三分之一的员工和几乎所有高层领导。

众议院国土安全委员会资深成员Bennie Thompson(民主党-密西西比州)联合网络安全小组委员会资深成员Delia Ramirez(民主党-伊利诺伊州)发出同样严厉的警告:安全文化衰退,外包管理失控。Thompson在信中写道,中国、俄罗斯、伊朗等对手正虎视眈眈地寻找联邦网络的入口,而这个仓库"恰好提供了信息、访问权限和路线图"。

事件曝光已逾一周,CISA仍在忙于吊销泄露的凭证。承包商为何能绕过基本的安全管控?内部审查机制是否形同虚设?这些问题的答案,将决定这场风波是孤例还是系统性溃败的冰山一角。