作為美國聯邦政府網路防禦的核心骨幹,美國網路安全和基礎設施安全局(CISA)向來扮演著指導企業與政府單位如何防範數位威脅的守門人。然而,根據 Brian Krebs 的最新調查報導,CISA 本身卻陷入了一場極為諷刺且嚴重的資安危機。
一名擁有高階管理權限的委外承包商,竟將內部機密憑證與金鑰公諸於公開的 GitHub 儲存庫中,暴露時間長達半年之久。此事件不僅讓美國國會兩院大為震怒、要求召開緊急聽證會,也再次引發資安市場對於影子 IT與委外廠商管理的再重視。
事件始末:Private-CISA 公開儲存庫的半年漏洞
這起事件最初是由資安防禦大廠 GitGuardian 的研究員 Guillaume Valadon 於 2026 年 5 月 14 日偵測發現。一家名為 Nightwing 的政府委外技術服務廠商,其旗下的系統管理員在 GitHub 上建立了一個諷刺地命名為「Private-CISA」的公開儲存庫。
經深入分析,該儲存庫包含高達 844 MB 的完整 Git 歷史紀錄與專案資料,其中的核心內容極為驚人:
重要 AWS 金鑰(importantAWStokens.txt),包含三個專為美國政府設計的 Amazon AWS GovCloud 雲端伺服器高權限系統管理憑證。
內部明文密碼檔案(AWS-Workspace-Firefox-Passwords.csv),直接記錄了數十個 CISA 內部系統的明文帳號與密碼。
核心部署架構,包含 Kubernetes 部署設定、ArgoCD 應用程式檔案、Terraform 基礎設施代碼以及 CI/CD(持續整合與持續部署)建立日誌。
更令人震驚的是資安數位鑑識追蹤的結果。該儲存庫 repo 早在 2025 年 11 月 13 日便已建立,這些足以做為國家級駭客入侵指南的機密資料,已經在網路上公開暴露了長達半年的時間(Dwell Time)。
Guillaume Valadon,GitGuardian 高級資安研究員指出:「這是我職業生涯中所見過最糟糕的憑證外洩事件。在深入分析內容之前,我甚至一度以為這只是個誘捕駭客的假專案。」
致命的人為疏忽:蓄意關閉安全掃描與影子 IT 的代價
CyberQ 在觀察評估此案時發現,這絕非單純的不小心點錯,而是一起教科書式的系統性管理疏失。根據 Commit 日誌顯示,該名承包商人員為了順利上傳資料,竟然手動關閉了 GitHub 內建用來防止機密憑證外洩的安全掃描保護機制。
CyberQ 認為,該技術人員同時使用了 CISA 官方郵件與個人郵件進行程式碼提交(Commit),顯然是將此公開 GitHub 儲存庫當成了個人的草稿筆記本與檔案同步工具,以便在辦公室與住家電腦之間轉移資料。這種未經授權的影子 IT(Shadow IT)行為,直接繞過了 CISA 內部所有的安控機制。
危機擴大,憑證變更緩慢與更大的軟體供應鏈風險
雖然 CISA 在接獲 GitGuardian 與記者 Brian Krebs 的通報後,迅速於 26 小時內將該儲存庫下架,但真正的問題才剛開始。在儲存庫下架數日後,開源金鑰偵測工具 TruffleHog 的創辦人 Dylan Ayrey 發現,CISA 根本沒有在第一時間全面作廢並變更所有外洩的金鑰。
其中一個被忽略的 RSA 私鑰隸屬於 CISA 企業帳戶下的 GitHub App,且安裝於 CISA-IT 組織中。Ayrey 指出,攻擊者只要持有此金鑰,就能無阻礙地讀取 CISA-IT 組織下的所有私有代碼庫、註冊惡意自我裝載的輔助程式(Rogue Self-hosted Runners)來劫持 CI/CD 部署管道、竄改儲存庫的管理設定(如分支保護規則),甚至在軟體中植入惡意代碼。
這起事件的潛在受害者可能不只是 CISA 內部,更可能演變成嚴重的軟體供應鏈攻擊,危及所有信任 CISA 資安工具的美國關鍵基礎設施。儘管 CISA 隨後在提醒下作廢了該金鑰,並發表聲明宣稱目前無跡象顯示有敏感資料遭到損害,但其消極且混亂的應變程序已引發業界質疑。
國會兩院震怒:人力流失與資安文化的潰散
這起嚴重的安全漏洞隨即在華盛頓政壇引發強烈風暴。國會兩院負責國土安全與資安的議員紛紛向 CISA 代理局長 Nick Andersen 發出嚴厲指責。國土安全委員會排名成員 Bennie Thompson 議員與國會議員 Delia Ramirez 在聯署信中痛批:
「我們的對手,如中國、俄羅斯與伊朗,一直試圖尋找進入聯邦網路的敲門磚。而 Private-CISA 儲存庫內含的檔案,恰恰為他們提供了所需的資訊、權限與入侵路線圖。我們深切擔憂此事件反映出 CISA 內部資安文化的潰散,以及對委外廠商管理能力的嚴重缺失。」
參議員 Maggie Hassan 亦在質詢信中提到一個關鍵背景,此危機爆發之際,正值 CISA 內部遭遇重大政治動盪。在政府更迭與強迫提前退休、買斷及請辭潮下,CISA 流失了超過三分之一的基層員工以及幾乎所有的高階資深領導團隊。外界普遍認為,正是這種實質管理架構的真空與不穩定,才創造了讓委外廠商出現如此低級錯誤的溫床,嚴重打擊了 CISA 作為國家級資安宣導者的公信力。
ISO 資安合規啟示
在資安市場觀點方面,知名資安播客節目《Risky Business》主持團隊也談到這個議題,。共同主持人 Adam Boileau 直言,這是一起典型的人為治理問題而非技術控制漏洞。當一名員工執意使用個人帳號同步工作檔案時,傳統的邊界防禦很難發揮全面監控的作用。
CyberQ 建議,應該要嚴格限制影子 IT 與程式碼外流的風險,雖然防不住個人帳號,但組織應透過企業代理伺服器(Corporate Proxy)強制對 GitHub 流量加入企業組織 ID 標頭(Org ID Injection),限制員工僅能向核准的企業儲存庫提交程式碼碼,從根本上切斷向個人儲存庫 repo 外流的可能。
落實委外廠商(Third-party Vendor)的資安稽核,許多單位的核心破口往往不是內部員工,而是擁有高權限的第三方委外廠商。ISO 27001 的合規標準必須確實將委外廠商的工程實踐納入動態監控範圍。
自動化憑證變更與事件應變(Incident Response): 面對高達數百 MB 的資料外洩,人工變更憑證與評估影響緩慢且容易缺漏。組織必須建立自動化的金鑰輪轉機制與威脅搜捕(Threat Hunting)部署。根據 Mandiant M-Trends 最新報告,全球受害者內部偵測的潛伏時間中位數雖已縮短,但像 CISA 這樣長達半年的外洩,若有敵對勢力早已監聽 GitHub 的 Live Feed,後續的損害評估將極度困難。
