CISA於GitHub曝露AWS GovCloud金鑰、內部系統憑證
事件概述
美國資訊安全與基礎設施安全局(CISA)的一名合約人員,維護了一個公開的GitHub儲存庫,其中包含AWS GovCloud的管理金鑰與內部系統憑證,導致敏感資料外洩。
詳細情況
- 該儲存庫由CISA的合約人員維護,並公開於GitHub,未經適當保護。
- 相關commit日誌顯示,該合約人員曾關閉GitHub預設的防護設定,以允許使用者存取敏感內容。
- 此事件引發安全專家關注,認為其違反了「安全設計」承諾,且對政府級系統安全構成重大威脅。
後續反應
多個安全媒體與社群平臺(如Krebs on Security、LinkedIn、Reddit)已報導此事件,並質疑CISA對此類安全漏洞的回應不力。