CISA於GitHub曝露AWS GovCloud金鑰、內部系統憑證

許多企業組織因開發人員不慎於公開GitHub儲存庫暴露機密，這樣的情況不時有事故傳出，如今專責資訊安全的政府機關竟也發生類似問題。

根據資安部落格Krebs On Security報導，資安公司GitGuardian發現美國網路安全暨基礎設施安全局（CISA）的公開GitHub儲存庫，存在多個高權限的AWS GovCloud政府雲端服務帳號，以及大量CISA內部系統憑證，由於儲存庫公開的資料透露CISA如何在內部建置、測試及部署軟體，而可能成為近年來美國政府最為嚴重的資料外洩事故，對此，CISA發言人表示，他們已知悉此事並著手調查。

此儲存庫被命名為Private-CISA，內容為大量內部CISA與國土安全部（DHS）的憑證與檔案，包括雲端金鑰、權杖（token）、明文密碼、事件記錄，以及其他敏感的CISA資產，疑為承包商維護。GitGuardian研究員Guillaume Valadon認為，暴露的CISA憑證是資安衛生不良的典型範例，根據GitHub帳號的事件記錄資料，CISA管理員試圖關閉儲存庫部分預設組態設定，以阻止使用者在公開儲存庫發布SSH金鑰或其他機密資料。Valadon特別提到，密碼明文儲存在CSV檔案，並透過Git備份，還有下達明確指令停用GitHub偵測帳密資料的記錄，並指出這是他職業生涯看過最嚴重的資料外洩事件。

他看到其中一個公開檔案importantAWStokens，含有3臺AWS GovCloud伺服器的管理憑證；另一個曝光的檔案是AWS-Workspace-Firefox-Passwords.csv，列出數十個CISA內部系統的帳號和密碼，其中一個系統是Landing Zone DevSecOps（LZ-DSO），為CISA的程式開發環境。資安顧問公司Seralys創辦人Philippe Caturegli確認暴露的AWS金鑰有效，並研判暴露的儲存庫可能是個別操作員作為暫存或同步資料的管道，並非用於特定專案的儲存庫。