2026年5月14日,GitGuardian 在一个名为 Private-CISA 的公开 GitHub 仓库中发现了疑似泄露的 CISA 密钥。该仓库在工作树和 Git 历史中保存了 844 MB 的数据。其中工作树占 498 MB;其余为 Git 历史和对象。
该仓库包含:
- CI/CD 构建日志和部署工作流程文档。
- Kubernetes 清单文件、ArgoCD 应用程序文件以及与密钥相关的 YAML 文件。
- Terraform 基础设施代码及相关包。
- GitHub Actions 工作流程和 GitHub 组织自动化脚本。
- 内部文档备份,包括大型 OneNote /.docx 导出文件。
- 用于 GitHub、Kubernetes、ArgoCD 和基础设施运维的脚本。
- 对 AWS 账户、IAM 身份、服务账户、内部服务端点、镜像仓库位置和密钥管理路径的引用。
这些泄露材料详细展示了云基础设施、部署工作流程、软件供应链工具和内部运维实践。
起初,我们以为这是一场恶作剧,因为目录名(Backup-April-2026/、All Backups/、LZ-Artifactory/、Kubernetes-Important-Yaml-Files/、ENTRA ID - SAML Certificates/……)、文件名(external-secret-repo-creds.yaml、CAWS GitHub Token.txt、Important AWS Tokens.txt、AWS-Workspace-Firefox-Passwords.csv、Kube-Config.txt……)及其内容(私钥、个人和专业 GitHub 令牌、AWS 密钥……)看起来好得令人难以置信。
个人文档、主机名以及文件精心组织的方式改变了我们的看法。该仓库是一份不安全实践的清单:明文密码、提交到 Git 的备份,以及禁用 GitHub 密钥扫描的明确说明。
我们的研究团队于5月14日下午4:14 CET 通过 CERT/CC 门户报告了此次泄露,并同时通过私人关系加速披露流程。
GitGuardian 公开监控最先发现了此次泄露。截至5月13日,我们的 Good Samaritan 计划 已向提交作者发送了九封邮件。
截至5月15日上午,我们仍只收到自动回复。随着周末临近,我们联系了 Brian Krebs 请他将泄露信息转交给他的 CISA 联系人,并激活合作伙伴以建立直接联系渠道。
5月15日大约16:00 CET,我们直接联系到了 CISA。该仓库于2026年5月15日 EST 时间下午6:00左右下线。看到仓库如此迅速地被关闭,令人松了一口气。CISA 响应迅速,值得称赞——我们的大多数披露流程需要更长的时间,有些甚至永远得不到修复。
披露时间线
在您的组织中预防此类事件
CISA GitHub 泄露提醒我们,一个公开仓库可能暴露的远不止几个凭据。它可能泄露云令牌、证书、CI/CD 日志、部署文件、备份,以及攻击者快速横向移动所需的操作地图。
如果您担心这可能发生在您的组织中,GitGuardian 为您提供了一条从快速验证到完整暴露管理的清晰路径。
- 使用 HasMySecretLeaked 检查个人凭据,查看密钥是否已出现在公开暴露数据中。
- 运行 GitHub 安全审计 了解您公司的公开 GitHub 暴露情况,包括您直接拥有的仓库之外的泄露。
- 预约演示,GitGuardian 可以对 GitHub 上的公开仓库进行更深入的扫描,帮助您了解通过开发人员和承包商产生的暴露情况。