美国CISA因承包商失误泄露大量密码及云密钥
事件概述
美国网络安全和基础设施安全局(CISA)可能侥幸避免了一场重大安全漏洞,多亏一名善意安全研究员及时发现并报告了公开泄露的凭证——这些凭证本可让攻击者访问政府云系统及CISA内部网络。
泄露细节
据独立安全记者布莱恩·克雷布斯(Brian Krebs)最先报道,安全公司GitGuardian的研究员纪尧姆·瓦拉德(Guillaume Valadon)发现,CISA承包商的一名员工在GitHub仓库中公开了包含大量明文凭据的电子表格,这些凭证可访问CISA及其上级机构国土安全部的系统。瓦拉德向克雷布斯透露,泄露内容包括访问令牌、云密钥等敏感文件,且他已验证部分密钥有效。
由于负责维护该GitHub环境的CISA承包商未对安全警报作出回应,瓦拉德选择通过克雷布斯向外界曝光此事。
责任与回应
此次安全疏漏对CISA而言尤为尴尬,因为该机构负责美国民用联邦网络的安全,并倡导最佳网络安全实践——例如使用安全的密码管理器存储密码,而非将凭证存放在未受保护的电子表格中。
当被科技媒体《TechCrunch》联系时,CISA发言人马可·迪桑德罗(Marco di Sandro)表示, agency“已知晓相关泄露事件,正在持续调查”,且“目前没有迹象表明敏感数据因此次事件遭到泄露”。不过,CISA未透露是否已撤销并更换泄露的凭证。
尽管泄露事件源于承包商员工,但CISA最终需对自身网络及系统的安全负责,包括其承包商的安全。
CISA当前状况
CISA自2025年1月20日原局长詹·伊斯特利(Jen Easterly)卸任以来,一直未任命永久负责人。此外,特朗普上任后,该机构因裁员、休假和削减预算已流失约三分之一员工。
关注微信号:智享开源 ,更多信息访问网站:blog.imcn.me
关注微信
还没有任何评论,你来说两句吧!