美国CISA震惊！故意在GitHub上公开机密密钥，政府安全基础岌岌可危

📰 新闻概览

• 美国网络安全基础设施安全局（CISA）的承包商在公开的GitHub仓库“Private-CISA”上发布了AWS GovCloud密钥等内部认证信息。
• 该承包商“故意禁用”GitHub的内置保护功能，提交了代码。
• 在安全公司提出警告后，超过一周的时间里，部分重要的私钥仍未被禁用，导致全仓库处于完全可访问的状态。

💡 重要要点

• 泄露的“Private-CISA”档案是在2025年11月创建的，怀疑承包商将其作为个人“备忘录”使用。
• 如果使用泄露的RSA私钥，可以读取CISA-IT组织所有的私有仓库、接管CI/CD流水线以及修改管理员设置。
• CISA近年来失去了超过三分之一的人员，管理层也发生了大幅更换，造成组织内部混乱，导致安全文化下降，这在国会中被提出。

🦈 鲨鱼观察（策展人的视角）

真是太糟糕了，连鲨鱼的下巴都快掉下来了！本该保护美国免受网络攻击的CISA，竟然把前门的钥匙放在GitHub上，还“关闭警报功能”，这是前所未有的失误！

尤其严重的是，TruffleHog的创建者迪伦·艾利指出的“RSA私钥”。这把钥匙可以控制CISA-IT的所有仓库，却在报警几天后仍未处理，响应速度简直慢得不可思议！使用“Private-CISA”这个名字公开，是故意隐藏还是无知呢……无论如何，这都是内部治理完全崩溃的证据！

🚀 接下来会怎样？

美国国会（如哈桑参议员）将启动严格调查，CISA代理主任尼克·安德森将被问责。承包商的管理流程必将被彻底审查，但要恢复失去的信任，需要重建整个组织的“安全文化”，这将是一条漫长的道路。

💬 鲨鱼的一句话

保护者竟然“故意”放松防御，怎么行！？作为安全专家，GitHub警报一响就应该意识到问题，鲨鱼也要更加小心地游泳！🦈🔥

📚 术语解释

• AWS GovCloud: 为美国政府机构及其承包商设计的物理和逻辑上隔离的AWS区域，用于迁移高度机密的工作负载到云端。

• CI/CD: “持续集成/持续交付”的缩写，是自动化软件构建、测试和部署的方法。如果这里被接管，就能将恶意代码混入正当程序中。

• RSA私钥: 在公钥密码系统中使用的密钥对之一。拥有它可以通过身份验证进入特定系统或仓库，并以最高权限进行操作，极为重要。

• 信息来源: Lawmakers Demand Answers as CISA Tries to Contain Data Leak