---
title: "美国网络安全局 CISA 将大量密码和云密钥暴露在开放的网络环境中"
type: "News"
locale: "zh-CN"
url: "https://longbridge.com/zh-CN/news/286937105.md"
description: "美国网络安全机构 CISA 在一名研究人员发现 GitHub 上暴露的凭证时，面临了一次重大的安全漏洞，这些凭证允许访问敏感系统。这些凭证与 CISA 的一名承包商相关，包括访问令牌和云密钥。尽管发生了泄露，CISA 尚未确认任何未经授权使用这些凭证的情况。此事件引发了人们对 CISA 网络安全实践的担忧，尤其是该机构自 2025 年 1 月以来一直没有永久性负责人，并且员工人数有所减少"
datetime: "2026-05-19T15:09:18.000Z"
locales:
  - [zh-CN](https://longbridge.com/zh-CN/news/286937105.md)
  - [en](https://longbridge.com/en/news/286937105.md)
  - [zh-HK](https://longbridge.com/zh-HK/news/286937105.md)
---

# 美国网络安全局 CISA 将大量密码和云密钥暴露在开放的网络环境中

美国网络安全机构 CISA 可能避免了一次重大安全漏洞，这要归功于一位善意的安全研究员，他发现了公开暴露的凭证，这些凭证允许访问政府云和内部机构系统。

独立安全记者 Brian Krebs 首次报道，GitGuardian 的安全研究员 Guillaume Valadon 发现了大量在电子表格中列出的明文凭证，这些凭证是由一名为 CISA 承包商工作的员工在 GitHub 存储库中公开访问的。

Valadon 告诉 Krebs，这些暴露的凭证用于访问 CISA 及其母机构国土安全部的系统。Valadon 表示，这些凭证包括访问令牌、云密钥和其他敏感文件。Valadon 告诉 Krebs，他测试了一些密钥以验证它们的有效性。

随后，他将这一漏洞报告给 Krebs，因为维护 GitHub 环境的 CISA 承包商没有回应他们的警报。

这一安全漏洞对 CISA 来说尤其尴尬，因为该美国政府机构负责整个民用联邦网络的网络安全。该组织还建议最佳网络安全实践，包括将密码存储在安全的密码管理器中，而不是在未保护的电子表格中。

目前尚不清楚除了 Valadon 之外是否还有其他人发现或使用了这些凭证。当 TechCrunch 联系 CISA 发言人时，发言人没有立即发表评论，也没有说明该机构是否有证据表明此次曝光导致了安全漏洞。TechCrunch 询问该机构是否在事件发生后撤销并更换了暴露的凭证。

虽然此次事件追溯到一名为 CISA 承包商工作的员工，但 CISA 最终对其自身网络和系统的安全负责，包括为该机构工作的承包商。

自 2025 年 1 月 20 日时任 CISA 主任 Jen Easterly 在新一届特朗普政府上任前辞职以来，CISA 一直没有永久主任。自特朗普上任以来，CISA 还因裁员、休假和解雇失去了约三分之一的员工。

## 相关资讯与研究

- [“搞钱”，才是 Revolution 千亿神话密码](https://longbridge.com/zh-CN/news/286888792.md)
- [万亿级产业！剖析武汉 “追光” 密码：多重因素共振结硕果](https://longbridge.com/zh-CN/news/286909669.md)
- [美监管机构暂缓部分银行网络安全检查 以评估 Mythos 相关风险](https://longbridge.com/zh-CN/news/286958441.md)
- [Anthropic 将就 Mythos 发现的网络安全漏洞向全球金融监管机构作通报](https://longbridge.com/zh-CN/news/286743744.md)
- [视频丨传统产业如何玩出新花样？解锁平陆运河沿线的 “香甜密码”](https://longbridge.com/zh-CN/news/286639816.md)