Hacker News 中文摘要

RSS订阅

议员要求解释 网络安全局试图遏制数据泄露 -- Lawmakers Demand Answers as CISA Tries to Contain Data Leak

原文链接 | HN讨论 | 2026-05-23 08:45:48

文章摘要

美国国会议员要求网络安全与基础设施安全局(CISA)就承包商在GitHub公开泄露大量内部系统凭证事件作出解释。CISA仍在努力控制数据泄露影响并撤销泄露的凭证。此前报道显示,该承包商故意禁用GitHub保护机制,将包含AWS政府云密钥等敏感信息的代码库设为公开。专家分析该数据已暴露较长时间。

文章总结

国会两院议员要求CISA就数据泄露事件作出解释

事件背景:
美国网络安全与基础设施安全局(CISA)承包商在GitHub公开账户中泄露了AWS GovCloud密钥及其他敏感数据后,国会两院议员要求CISA作出回应。KrebsOnSecurity此前报道称,该承包商故意禁用GitHub的敏感信息保护功能,导致大量凭证暴露。

关键细节:
- 泄露内容: 包括数十个CISA内部系统的明文凭证,文件涉及AWS工作区密码、Kubernetes配置等(见附图)。
- 时间线: 涉事GitHub仓库最早创建于2025年11月,但主要泄露发生在2026年4月下旬。
- CISA回应: 声称"无证据表明敏感数据被泄露",但未说明数据暴露时长。

立法者质疑:
- 参议员玛吉·哈桑(民主党-新罕布什尔州) 致信CISA代理局长,批评该事件暴露了CISA内部管理漏洞,尤其在当前网络威胁加剧的背景下。
- 众议员本尼·汤普森(民主党-密西西比州) 联合网络安全小组委员会成员指出,泄露数据可能被中俄等对手利用,要求彻查合同承包商管理问题。

技术影响:
- 安全公司TruffleHog发现,CISA在接到通知一周后仍未完全撤销所有泄露密钥,包括一个可访问CISA全部代码库的RSA私钥。
- 专家警告,网络犯罪者可能已通过GitHub公开动态获取这些凭证。

深层问题:
- CISA因特朗普政府时期的裁员潮流失超三分之一员工,导致内部动荡。
- 技术评论员指出,此类人为漏洞无法单纯通过技术手段防范,需加强 contractor 行为监管。

现状更新:
截至5月23日,CISA表示正与相关方合作撤销泄露凭证,但未透露具体进展。

(注:文中时间均基于原文的2026年时间线,图片说明保留关键信息。)

评论总结

总结评论内容:

  1. 对CISA声明的质疑
  • 认为CISA声称"没有敏感数据泄露"的说法不可信 关键引用: "there is no indication that any sensitive data was compromised...Oh wow. Except for those secrets." ("没有迹象表明任何敏感数据因此事件泄露...哦,除了那些机密")
  1. 承包商管理问题
  • 指出承包商不当使用GitHub同步工作文件是人为问题
  • 认为应有更严格的技术管控措施 关键引用: "this is a human problem where you've hired a contractor...they have decided to use GitHub to synchronize content" ("这是人为问题,你雇佣的承包商...决定使用GitHub同步内容") "random contractor doesn't have passwords from mid-2025 to copy to their home machine" ("随机的承包商不应该有2025年中的密码可以复制到家用电脑")
  1. 基本安全规范缺失
  • 批评将凭证存入git仓库是严重错误 关键引用: "isn't is git 101 to not put creds in git?" ("不把凭证放进git不是基本常识吗?")
  1. 机构削弱论
  • 认为CISA因资金削减和人才流失导致能力下降
  • 指出这是有意削弱国家防御的行为 关键引用: "gutting the agency of experts diminishes their opsec capacity" ("掏空专家机构削弱了他们的操作安全能力") "consistent with intentionally weakening a country's defenses from within" ("符合从内部故意削弱国家防御的模式")
  1. 资金削减的恶性循环
  • 类比公共服务的恶化模式:削减资金→服务下降→负面评价 关键引用: "Reminds me of the enshittification of public transit" ("让我想起公共交通的恶化过程") "lost more than a third of it workforce...early retirements, buyouts" ("失去了超过三分之一的员工...提前退休,买断")
  1. 问责问题
  • 批评立法者只要求解释却不承担责任 关键引用: "Lawmakers want answers but they never provide answers themselves" ("立法者想要答案但他们自己从不提供答案") "Keys are mistakenly published all the time by very smart people" ("非常聪明的人也经常误发布密钥")
  1. 政治时机质疑
  • 注意到高层辞职与事件公开的时间巧合 关键引用: "Tulsi's resignation today seems interestingly timed" ("Tulsi今天的辞职时机看起来很有趣")