原文:US cyber agency CISA exposed reams of passwords and cloud keys to the open web
美国网络安全机构 CISA 可能逃脱了大规模的安全漏洞,这要归功于一位善意的安全研究人员,他发现了允许访问政府云和内部机构系统的公开凭据。
正如独立安全记者 Brian Krebs 首次报道的那样,GitGuardian 安全研究员 Guillaume Valadon 发现电子表格中列出了大量暴露的明文凭据,这些凭据已由 CISA 承包商的一名员工在 GitHub 存储库中公开访问。
Valadon 告诉 Krebs,暴露的凭据用于访问 CISA 及其上级机构国土安全部的系统。瓦拉登表示,这些凭证包括访问令牌、云密钥和其他敏感文件。瓦拉东告诉克雷布斯,他测试了一些密钥以验证它们是否有效。
然后,他向 Krebs 报告了这一失误,因为维护 GitHub 环境的 CISA 承包商没有对他们的警报做出回应。
对于 CISA 来说,安全漏洞尤其令人尴尬,因为美国政府机构负责整个民用联邦网络的网络安全。该组织还就最佳网络安全实践提供建议,其中包括将密码存储在安全的密码管理器中,而不是存储在不受保护的电子表格中。
目前尚不清楚除 Valadon 之外是否有人找到或使用了这些凭据。 TechCrunch 联系到 CISA 发言人时,他没有立即发表评论,也没有透露该机构是否有任何证据表明此次曝光造成了违规行为。 TechCrunch 询问该机构是否在事件发生后撤销并更换了暴露的凭证。
虽然该事件可追溯到为 CISA 承包商工作的一名员工,但 CISA 最终对其自身网络和系统的安全负责,包括为该机构工作的承包商。
自 2025 年 1 月 20 日起,CISA 一直没有常任董事,当时的 CISA 董事 Jen Easterly 在比赛开始前辞职