美国网络安全和基础设施安全局（CISA）被曝曾在公开网络上暴露大量访问凭证，这些凭证据称可用于访问政府云环境及机构内部系统。

据独立安全记者 Brian Krebs 报道，GitGuardian 安全研究员 Guillaume Valadon 在一次例行检查中，在一个公开的 GitHub 仓库中发现了相关问题。该仓库由一名为 CISA 承包商工作的员工维护，其中上传的电子表格以明文形式列出了大量凭证。

Valadon 向 Krebs 表示，这些暴露的信息包括访问令牌、云密钥以及其他敏感文件，涉及 CISA 及其上级机构美国国土安全部的系统。他称，自己对部分密钥进行了测试，以验证其有效性。

Krebs 的报道指出，在尝试联系维护该 GitHub 环境的承包商未获回应后，Valadon 将这一情况转而报告给 Krebs。随后，相关暴露问题才被外界知悉。

目前尚不清楚除 Valadon 之外，是否有其他人发现或利用了这些凭证。TechCrunch 称，其就此事联系了 CISA，但发言人未立即作出评论，也未说明是否有证据表明此次暴露已导致安全事件。TechCrunch 还询问该机构是否在事后撤销并更换了相关凭证，尚未获得答复。

报道指出，此次事件对 CISA 尤具敏感性。该机构负责美国民用联邦网络的网络安全工作，并向各方发布网络安全最佳实践建议，其中包括应将密码存储在安全的密码管理工具中，而非未加保护的电子表格。

尽管此次暴露追溯到一名为 CISA 承包商工作的员工，但报道提到，CISA 作为主管机构，对自身网络和系统的安全负有最终责任，其中也包括承包商为其运营的系统。

人员方面，自 2025 年 1 月 20 日时任 CISA 主任 Jen Easterly 在新一届特朗普政府就任前辞职以来，该机构一直没有常任主任。报道还提到，自特朗普执政以来，CISA 因裁员、休假和解雇等原因流失了约三分之一的员工。