# CISA 承包商将 AWS GovCloud 密钥暴露于公开 GitHub 仓库

## 事件概述

安全研究员 Brian Krebs（KrebsOnSecurity）报道，美国网络安全和基础设施安全局（CISA）的一家承包商将大量敏感凭证暴露在公开 GitHub 仓库中。

## 关键细节

- **仓库名称**："Private-CISA"（讽刺的是以"Private"为名）
- **暴露内容**：明文密码、SSH 私钥、令牌及其他"CISA 敏感资产"
- **暴露时间**：至少自 2025 年 11 月起
- **发现者**：GitGuardian 的 Guillaume Valadon 通过公开代码扫描发现
- **管理者**：弗吉尼亚州的 Nightwing 公司（CISA 承包商）

## 更糟的是...

- 仓库管理员**禁用了** GitHub 默认的密钥提交保护机制
- 安全研究员 Philippe Caturegli 成功使用这些凭证以**高权限级别**访问了多个 **AWS GovCloud** 账户
- 这不是 CISA 今年的第一次安全失误——1 月，代理局长 Madhu Gottumukkala 曾将敏感政府文件上传至 ChatGPT，后被免职

## 同类事件

同日，**GitHub 公开声明正在调查内部仓库被未授权访问**的事件，两条安全新闻叠加引发了广泛关注。

---

## 参考链接

- [Ars Technica: Secret CISA credentials found in public GitHub repo](https://arstechnica.com/information-technology/2026/05/in-stunning-display-of-stupid-secret-cisa-credentials-found-in-public-github-repo/)
- [KrebsOnSecurity: CISA Admin Leaked AWS GovCloud Keys on GitHub](https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/)
- [Hacker News: GitHub is investigating unauthorized access to their internal repositories](https://twitter.com/github/status/2056884788179726685)