如果有一个机构最不应该发生数据泄露,那绝对是美国国土安全部旗下的网络安全与基础设施安全局(CISA)——他们可是专门负责给全美政府和各大企业修补漏洞、抓黑客的“国家队指挥官”。
然而就在近日,网络安全界爆出了一个让人惊掉下巴的史诗级大乌龙:CISA 的一名外包技术主管,竟然把装满国家级机密密钥、核心服务器明文密码的文件夹,大摇大摆地公开上传到了 GitHub(公共代码托管平台)上!
安全专家看完直接痛苦面具:“这是我职业生涯中见过最糟糕、最业余的泄露。原本以为是钓鱼的假文件,结果一查全是真家伙……”
🔍 离谱到家!这位“内鬼”到底泄露了啥?
这个被命名为“Private-CISA”的公开代码库里,藏着足以让全球黑客集体过年的“顶级大礼包”:
▪️AWS 政府云最高权限密钥:包含三个高度敏感的 AWS GovCloud 核心服务器管理凭证。这可是专门存放政府机密数据的云端“保险库”!
▪️明文密码表格:有一个文件直接叫“Firefox密码表.csv”,里面用纯文本整整齐齐地记录着几十个 CISA 内部核心系统的账号和密码。
▪️软件后门温床:泄露代码中包含了 CISA 内部测试和开发软件的全部环境凭证。黑客一旦拿到,就能像植入木马一样,在他们以后开发的每一款安全软件里轻松留下后门。
🤦♂️ 骚操作拉满:为了传文件,他甚至手动关闭了安全警报
更让人窒息的是,GitHub 平台本身其实自带“防呆机制”——如果检测到用户上传的代码里包含敏感的加密钥匙或密码,系统会自动拦截并弹窗警告。
但这位大哥为了能顺利同步文件,竟然大费周章地写了一串命令,硬生生把 GitHub 的自动防泄露检测功能给关闭了!
网络安全专家推测,这名高管可能只是图省事,想把工作电脑上的资料通过 GitHub 悄悄同步到自己家里的电脑上,好方便居家办公。结果因为缺乏常识,直接把整个代码库设成了“Public(所有人可见)”,让全宇宙的网民免费围观了半年之久(该库创建于2025年11月)。
🚪 更绝的在后面:密码竟是“平台名字+2026”?!
安全专家在协助调查时还发现,CISA 内部好几个重要系统的密码,居然敷衍到直接用“系统名称+当前年份(例如:Platform2026)”作为密码。这种小学生级别的弱口令,在国家级网络安全机构里天天上演,简直是把网络安全法当成了摆设。
虽然在被安全公司 GitGuardian 紧急私信提醒后,CISA 已经火速把这个GitHub账号彻底封杀,但更诡异的是,那些被泄露的 AWS 最高权限密钥,在账号关闭后居然又离奇地保持了48小时的“有效登录状态”,反应速度慢到令人发指。
虽然官方事后嘴硬坚称“目前没有迹象表明敏感数据被恶意滥用”,但大批大流行期间被裁员、目前正缩减预算的 CISA 团队,估计接下来的日子都要在通宵改密码中度过了。
这就好比教大家防盗锁门的保安队长,自己不仅把家里的保险箱钥匙挂在了大马路的电线杆上,甚至连家门密码都设成了“123456”,简直是全行业最打脸的教科书级翻车!大家在日常工作或生活中,有遇到过哪些因为图省事而引发的搞笑“安全翻车”事件吗?你们公司的 IT 部门对密码要求严不严? 欢迎在评论区一起吐槽聊聊!
