网络安全"守门人"自己泄密了:CISA承包商将AWS GovCloud密钥上传GitHub的警示
2026年5月,安全公司GitGuardian发现了一个令人震惊的情况:美国网络安全与基础设施安全局(CISA)的一名承包商,在公开的GitHub仓库中存放了AWS GovCloud的高权限凭证。这些凭证包括明文密码、访问令牌,以及内部系统部署文件。GitGuardian在报告中将其描述为"近年来最严重的政府数据泄露事件之一"。
更让人无法理解的是,这名承包商在GitHub上维护的仓库名为"Private-CISA"——名字就叫"私密-CISA",可仓库却是公开的。当GitGuardian的安全研究人员联系CISA时,他们发现CISA管理员甚至关闭了GitHub的密钥自动检测功能。也就是说,原本平台方提供的自动发现和告警机制被人为禁用了,这让凭证在公开仓库中暴露了更长时间。
这件事对所有企业都有教科书级别的警示意义。
首先,高权限凭证的存储和流转一定要有明确的管理规范。AWS GovCloud是美国政府专用的云环境,承载的数据敏感程度可想而知。把这样的凭证以明文形式放在任何地方,无论是公开仓库还是未加密的本地文件,都等同于把钥匙挂在门外。企业内部应当建立明确的凭证管理制度,规定哪些凭证必须加密存储、哪些人有权访问、凭证定期轮换的周期是多少。
其次,代码仓库的密钥扫描功能不能关闭。GitHub、GitLab等主流代码托管平台都提供了自动密钥扫描功能,一旦检测到疑似凭证提交就会告警。有些开发人员或管理员可能觉得这些告警烦人,或者因为误报率高就选择直接关闭。但这次事件证明,关闭这个功能相当于拆掉了一道关键的防线。企业应当建立制度,要求所有代码仓库必须开启密钥扫描,并且设置专人处理告警。
再次,GitHub仓库的可见性管理需要更严格的审计。员工或承包商以个人名义创建的组织仓库,是否被正确设置为私有?是否有人定期审查仓库的可见性设置?这些看似基础的工作,在实际操作中往往被忽视。建议企业建立定期的仓库权限审计机制,每个季度对组织内所有仓库的可见性和成员权限做一次全面检查。
最后,也是最根本的一点:云环境的安全意识需要覆盖到每一个人。这次事件的主角是CISA的承包商,而CISA本身就是美国网络安全的主管机构。这恰恰说明,安全不只是安全部门的事,任何一个岗位上的员工或合作方,如果缺乏基本的安全意识,都有可能成为整个链条中最薄弱的环节。
还有一个值得关注的细节是,泄露的仓库中不仅包含AWS GovCloud的密钥,还包含了内部系统的部署文件。这意味着攻击者如果发现了这些凭证,不仅能够访问云环境,还能了解内部系统的架构和部署方式,进一步扩大攻击面。这种连锁反应表明,单次凭证泄露可能引发远比预期更严重的后果。
云服务给企业带来了灵活性和效率,但同时也带来了新的安全挑战。每个企业都值得思考:如果安全主管机构都会犯这样的低级错误,我们自己的云凭证管理做到位了吗?从密钥存放规范到扫描机制,从权限审计到员工安全意识培训,每个环节都需要落到实处,而不是停留在制度文件里。毕竟,一次被忽视的密钥泄露就可能毁掉多年积累的安全防护。
北京企密安信息安全技术有限公司
专注企业信息安全、云安全审计、合规管理服务
网址:www.baomiwang.com
邮箱:jess@baomiwang.com
电话:010-63711822
地址:北京市北京经济技术开发区科创十四街20号院16号楼6单元5层505室
