CISA 试图遏制数据泄露，立法者要求答案

在 KrebsOnSecurity 本周报道称 CISA 承包商故意在公共 GitHub 帐户上发布 AWS GovCloud 密钥和大量其他机构机密后，国会两院立法者要求美国网络安全和基础设施安全局 (CISA) 做出答复。此次调查正值 CISA 仍在努力遏制违规行为并使泄露的凭证失效之际。 5 月 18 日，KrebsOnSecurity 报道称，一名拥有该机构代码开发平台管理访问权限的 CISA 承包商创建了一个名为“Private-CISA”的公共 GitHub 配置文件，其中包含数十个内部 CISA 系统的明文凭证。审查了泄露机密的专家表示，代码存储库的提交日志显示，CISA 承包商禁用了 GitHub 的内置保护功能，防止在公共存储库中发布敏感凭证。 CISA 承认了此次泄露，但没有回应有关数据泄露持续时间的问题。然而，审查现已解散的 Private-CISA 档案的专家表示，它最初创建于 2025 年 11 月，并且它表现出的模式与个人操作员使用该存储库作为工作暂存器或同步机制而不是策划的项目存储库一致。 CISA 在一份书面声明中表示，“没有迹象表明任何敏感数据因该事件而受到损害。”但在 5 月 19 日写给 CISA 代理主任尼克·安德森 (Nick Andersen) 的一封信 (PDF) 中，参议员玛吉·哈桑 (D-NH) 表示，凭证泄露引发了严重的问题：在这个负责帮助防止网络泄露的机构中，如何会发生这样的安全漏洞。参议员哈桑写道：“在美国关键基础设施面临重大网络安全威胁之际，这份报告引发了人们对 CISA 内部政策和程序的严重担忧。” 5 月 19 日，新罕布什尔州民主党参议员玛格丽特·哈桑 (Margaret Hassan) 致信 CISA 代理主任，要求回答有关此次泄露的十几个问题。哈桑参议员指出，这一事件发生的背景是 CISA 内部出现重大混乱，在特朗普政府强制该机构各个部门进行一系列提前退休、买断和辞职后，CISA 失去了超过三分之一的员工和几乎所有高级领导人。众议院国土安全委员会高级成员众议员本尼·汤普森（D-MS）也表达了参议员的担忧。汤普森在 5 月 19 日致 CISA 代理主席的信中写道：“我们担心这一事件反映出安全文化的削弱和/或 CISA 无法充分管理其合同支持。”这封信由伊利诺伊州民主党众议员、网络安全和基础设施保护小组委员会的高级成员迪莉娅·拉米雷斯 (Delia Ramirez) 共同签署。 “众所周知，我们的对手——比如中国、俄罗斯和伊朗——寻求访问并持久保留联邦网络。‘Private-CISA’存储库中包含的文件提供了实现这一目标的信息、访问权限和路线图。” KrebsOnSecurity 获悉，在安全公司 GitGuardian 首次向 CISA 通报数据泄露事件一周后，该机构仍在努力使许多泄露的密钥和机密失效并进行替换。 5 月 20 日，KrebsOnSecurity 收到了 TruffleHog 创始人 Dylan Ayrey 的来信，TruffleHog 是一个开源工具，用于发现隐藏在 GitHub 和其他公共平台托管代码中的私钥和其他秘密。 Ayrey 表示，CISA 仍未使 Private-CISA 存储库中公开的 RSA 私钥失效，该存储库授予对 GitHub 应用程序的访问权限，该应用程序由 CISA 企业帐户拥有，并安装在 CISA-IT GitHub 组织上，具有对所有代码存储库的完全访问权限。 “拥有此密钥的攻击者可以从 CISA-IT 组织中的每个存储库（包括私有存储库）读取源代码，注册恶意自托管运行程序以劫持 CI/CD 管道并访问存储库机密，并修改存储库管理设置，包括分支保护规则、Webhook 和部署密钥，”Ayrey 告诉 KrebsOnSecurity。 CI/CD 代表持续集成和持续交付，它指的是一组用于自动化软件构建、测试和部署的实践。 KrebsOnSecurity 于 5 月 20 日向 CISA 通报了 Ayrey 的调查结果。CISA 承认已收到该报告，但尚未回复后续询问。 Ayrey 表示，CISA 似乎在发出通知后的某个时间使暴露的 RSA 私钥失效。但他指出，CISA 仍未轮换与该机构技术组合中部署的其他关键安全技术相关的泄露凭证（KrebsOnSecurity 暂时未公开命名这些技术）。艾雷表示，他的公司 Truffle Security 监控 GitHub 和许多其他代码平台是否存在暴露的密钥，并试图向受影响的帐户发出敏感数据暴露的警报。他们可以在 GitHub 上轻松完成此操作，因为平台 pub