美国网络机构CISA向开放网络公开了大量密码和云密钥

美国网络安全机构CISA可能逃脱了大规模的安全漏洞，这要归功于一位善意的安全研究人员，他发现了允许访问政府云和内部机构系统的公开凭据。

正如独立安全记者Brian Krebs首次报道的那样，GitGuardian安全研究员Guillaume Valadon发现电子表格中列出了大量暴露的明文凭据，这些凭据已由CISA承包商的一名员工在GitHub存储库中公开访问。

Valadon告诉Krebs，暴露的凭据用于访问CISA及其上级机构国土安全部的系统。瓦拉登表示，这些凭证包括访问令牌、云密钥和其他敏感文件。瓦拉东告诉克雷布斯，他测试了一些密钥以验证它们是否有效。

然后，他向Krebs报告了这一失误，因为维护GitHub环境的CISA承包商没有对他们的警报做出回应。

对于CISA来说，安全漏洞尤其令人尴尬，因为美国政府机构负责整个民用联邦网络的网络安全。该组织还就最佳网络安全实践提供建议，其中包括将密码存储在安全的密码管理器中，而不是存储在不受保护的电子表格中。

目前尚不清楚除Valadon之外是否有人找到或使用了这些凭据。当TechCrunch联系到CISA发言人时，该发言人没有立即发表评论或表示该机构是否有任何证据表明此次曝光造成了违规行为。 TechCrunch询问该机构是否在事件发生后撤销并更换了暴露的凭据。

虽然该事件可追溯到为CISA承包商工作的一名员工，但CISA最终对其自身网络和系统的安全负责，包括为该机构工作的承包商。

自2025年1月20日起，CISA一直没有常任理事，当时的CISA主任Jen Easterly在即将上任的特朗普政府上任前辞职。自特朗普上任以来，CISA还因裁员、休假和裁员而损失了约三分之一的员工。