CISA 数据泄露引议员质疑,能否遏制危机待解? 事件背景2026 年 5 月KrebsOnSecurity 报道美国网络安全与基础设施安全局CISA的一名承包商将 AWS GovCloud 密钥和大量机构机密信息发布到公共 GitHub 账户引发美国国会参众两院议员要求 CISA 给出解释而 CISA 仍在努力控制数据泄露事件并使泄露凭证失效。数据泄露详情5 月 18 日消息显示拥有 CISA 代码开发平台管理权限的承包商创建了“Private - CISA”公共 GitHub 个人资料含数十个 CISA 内部系统明文凭证。专家审查发现该承包商禁用了 GitHub 防止在公共仓库发布敏感凭证的保护机制。CISA 承认数据泄露但未回应数据暴露时长问题。审查停用的 Private - CISA 存档的专家称存档创建于 2025 年 11 月更像是个人工作便笺或同步机制而非精心策划的项目仓库。各方反应CISA 声明称无迹象表明敏感数据泄露。但 5 月 19 日参议员玛吉·哈桑Maggie HassanD - NH致信 CISA 代理局长尼克·安德森Nick Andersen指出凭证泄露引发对 CISA 自身安全漏洞的严重质疑还表示这一报道引发对 CISA 内部政策和程序的担忧。同日参议员玛格丽特·哈桑Margaret HassanD - NH致信要求就数据泄露回答 12 个问题且指出事件发生背景是 CISA 内部重大变动特朗普政府操作使 CISA 失去超三分之一员工和几乎所有高级领导。众议院国土安全委员会资深成员本尼·汤普森Bennie ThompsonD - MS也表达担忧其 5 月 19 日致信称担心事件反映 CISA 安全文化缺失和无法有效管理合同支持“Private - CISA”仓库文件可能为对手提供获取联邦网络的信息等。该信由迪莉娅·拉米雷斯Delia RamirezD - Ill共同签署。后续处理情况安全公司 GitGuardian 通知 CISA 数据泄露一周多后CISA 仍在努力使泄露的密钥和机密信息失效并替换。5 月 20 日TruffleHog 开发者迪伦·艾里Dylan Ayrey称CISA 未使 Private - CISA 仓库泄露的 RSA 私钥失效持有该密钥攻击者可进行多种恶意操作。KrebsOnSecurity 将此告知 CISA 后CISA 似乎使该私钥失效但仍未轮换与其他关键安全技术相关的泄露凭证。CISA 声明正在积极响应与相关方和供应商协调确保泄露凭证轮换并失效保护系统安全。风险分析艾里所在公司会监控代码平台发现泄露密钥并提醒受影响账户但网络犯罪分子也会监控公共数据流并利用泄露密钥。实际上网络犯罪组织或外国对手很可能注意到 CISA 机密信息发布最严重一次似乎在 2026 年 4 月底。技术探讨《风险业务》Risky Business安全播客的詹姆斯·威尔逊James Wilson表示使用 GitHub 管理代码项目的组织可设置政策防止员工禁用 GitHub 保护机制但亚当·博伊洛Adam Boileau称不清楚是否有技术能阻止员工用个人 GitHub 账户存储敏感信息认为这归根结底是人的问题。更新说明更新美国东部时间下午 3:05添加了 CISA 的声明纠正文章中一个日期Truffle Security 表示该仓库在 2026 年 4 月底获得最敏感机密信息而非 2025 年。评论情况Will 提出疑问是 CISA 未强化 GHE 组织还是承包商不受简单限制约束。JA 吐槽让无能之辈负责。PoorMansLastStand 称选了“小丑”就得自食恶果Wannabe Techguy 表示认同。Bon 认为事件离谱。Hank Bellomy 询问是否有人确定凭证等是否被访问、使用或修改以及承包商有无能力评估。Hey Neighbor! 提出两个观点一是任何人可能出现安全漏洞二是人类是最薄弱环节应吸取教训继续前进。