---
title: "美國網絡安全局 CISA 將大量密碼和雲密鑰暴露在開放的網絡環境中"
type: "News"
locale: "zh-HK"
url: "https://longbridge.com/zh-HK/news/286937105.md"
description: "美國網絡安全機構 CISA 在一名研究人員發現 GitHub 上暴露的憑證時，面臨了一次重大的安全漏洞，這些憑證允許訪問敏感系統。這些憑證與 CISA 的一名承包商相關，包括訪問令牌和雲密鑰。儘管發生了泄露，CISA 尚未確認任何未經授權使用這些憑證的情況。此事件引發了人們對 CISA 網絡安全實踐的擔憂，尤其是該機構自 2025 年 1 月以來一直沒有永久性負責人，並且員工人數有所減少"
datetime: "2026-05-19T15:09:18.000Z"
locales:
  - [zh-CN](https://longbridge.com/zh-CN/news/286937105.md)
  - [en](https://longbridge.com/en/news/286937105.md)
  - [zh-HK](https://longbridge.com/zh-HK/news/286937105.md)
---

# 美國網絡安全局 CISA 將大量密碼和雲密鑰暴露在開放的網絡環境中

美國網絡安全機構 CISA 可能避免了一次重大安全漏洞，這要歸功於一位善意的安全研究員，他發現了公開暴露的憑證，這些憑證允許訪問政府雲和內部機構系統。

獨立安全記者 Brian Krebs 首次報道，GitGuardian 的安全研究員 Guillaume Valadon 發現了大量在電子表格中列出的明文憑證，這些憑證是由一名為 CISA 承包商工作的員工在 GitHub 存儲庫中公開訪問的。

Valadon 告訴 Krebs，這些暴露的憑證用於訪問 CISA 及其母機構國土安全部的系統。Valadon 表示，這些憑證包括訪問令牌、雲密鑰和其他敏感文件。Valadon 告訴 Krebs，他測試了一些密鑰以驗證它們的有效性。

隨後，他將這一漏洞報告給 Krebs，因為維護 GitHub 環境的 CISA 承包商沒有回應他們的警報。

這一安全漏洞對 CISA 來説尤其尷尬，因為該美國政府機構負責整個民用聯邦網絡的網絡安全。該組織還建議最佳網絡安全實踐，包括將密碼存儲在安全的密碼管理器中，而不是在未保護的電子表格中。

目前尚不清楚除了 Valadon 之外是否還有其他人發現或使用了這些憑證。當 TechCrunch 聯繫 CISA 發言人時，發言人沒有立即發表評論，也沒有説明該機構是否有證據表明此次曝光導致了安全漏洞。TechCrunch 詢問該機構是否在事件發生後撤銷並更換了暴露的憑證。

雖然此次事件追溯到一名為 CISA 承包商工作的員工，但 CISA 最終對其自身網絡和系統的安全負責，包括為該機構工作的承包商。

自 2025 年 1 月 20 日時任 CISA 主任 Jen Easterly 在新一屆特朗普政府上任前辭職以來，CISA 一直沒有永久主任。自特朗普上任以來，CISA 還因裁員、休假和解僱失去了約三分之一的員工。

## 相關資訊與研究

- [美監管機構暫緩部分銀行網絡安全檢查 以評估 Mythos 相關風險](https://longbridge.com/zh-HK/news/286962097.md)
- [Claude 靠混亂筆記與程式抓漏，一天內解鎖沉睡 11 年的比特幣錢包](https://longbridge.com/zh-HK/news/286629743.md)
- [Mythos 資安機器人恐致金融網路風險 新創公司將説明](https://longbridge.com/zh-HK/news/286730193.md)
- [金士頓強化高效能產品線 滿足新世代運算與企業級應用需求](https://longbridge.com/zh-HK/news/286529372.md)
- [生產力局籲受影響機構暫停用 Canvas 先評估受影響程度](https://longbridge.com/zh-HK/news/285891793.md)