CISA GitHub 洩密事件：公開倉庫點樣暴露政府雲端金鑰同密碼

換言之，只要有人發現這個 repository，就可以下載整個資料集並查看裡面的憑證。

洩露了哪些資料

公開的 repository 涉及多種與 CISA 及美國國土安全部（DHS）相關的敏感資料，包括：

• 明文（plaintext）用戶名與密碼
• AWS GovCloud 憑證
• 雲端存取 token 及身份驗證金鑰
• Kubernetes 配置檔
• ArgoCD 部署文件
• Entra ID SAML 憑證
• 內部系統日誌與運維檔案

其中部分資料被指與 高權限 AWS GovCloud 帳戶 相關，這些帳戶通常用於美國政府的雲端基礎設施。

安全專家指出，如果雲端金鑰或存取 token 仍然有效，理論上可能直接存取相關雲端資源或內部服務。

研究人員如何發現

這宗事件最早由 GitGuardian 安全研究員 Guillaume Valadon 發現。GitGuardian 的工具會自動掃描公開代碼倉庫，尋找外洩的憑證或密鑰。

系統在掃描時發現該 repository 內嵌有大量憑證資料，因而發出警示。GitGuardian 曾嘗試通知相關 GitHub 帳戶或承包商，但未得到回覆。

在多次聯絡未果後，Valadon 於 5 月 15 日 聯絡資深網絡安全記者 Brian Krebs。Krebs 之後協助向相關機構反映情況並公開報導事件。

隨着問題被曝光，該 GitHub repository 很快被下架。

可能帶來的風險

即使倉庫在曝光後迅速被移除，事件仍然帶來幾個潛在風險。

如果部分憑證仍然有效，理論上可能被用於存取：

• AWS GovCloud 上的政府雲端基礎設施
• CISA 的內部開發或部署系統
• 身份與認證服務
• DevOps 管道及配置系統

研究人員指出，在發現時 部分憑證似乎仍然處於有效狀態。

不過目前公開報導未有證據顯示這些憑證曾被惡意人士利用。

CISA 官方回應

CISA 表示已知悉相關問題並正在調查事件經過。

多家媒體引述機構聲明指出，目前沒有證據顯示敏感資料被入侵或系統遭到攻擊。

事件亦引起國會關注，一些議員已要求 CISA 就憑證如何被公開及聯邦系統是否存在風險作出簡報。

為何事件特別尷尬

這宗事件之所以特別受關注，是因為 CISA 本身正是美國政府負責網絡安全指導的主要機構。

該機構經常向政府部門、企業及關鍵基礎設施營運者提供安全建議，例如：

• 憑證管理
• 安全儲存機密資料
• DevOps 安全實踐
• 避免在公開代碼庫中暴露敏感資料

因此，當與 CISA 相關的憑證被發現在公開 GitHub 倉庫中時，也凸顯了機構自身未能避免其平時警告他人的安全失誤。

更大的啟示

在軟件開發行業，類似事件其實並不罕見。開發人員有時會在提交代碼時，無意中把密鑰、密碼或配置檔案一併放入版本控制系統。

現時很多安全工具都會持續掃描公開代碼平台，以找出這些「秘密」。今次事件正是透過自動掃描而被及早發現，並在未確認被濫用之前下架相關 repository。

即使如此，事件仍然提醒業界：在複雜的政府或大型企業環境中，一個錯誤設定的代碼倉庫，就可能讓外界看到通往關鍵基礎設施的門匙。