VIA:蓝点网
网络安全公司 CYBERNEWS 日前发布报告披露在腾讯云发现的安全问题,问题发生原因是腾讯云存在严重的配置错误,导致包含敏感凭证和内部源代码的环境泄露到公网上。
接着这些数据攻击者可能可以完全访问腾讯云内部服务和后端基础设施,泄露的数据用于测试环境和生产环境,暴露在公网后可能会被机器人抓取造成严重的数据泄露事件。
这起事件与使用腾讯云的客户没有直接关系,客户的账号密码和其他数据不受影响,但研究人员担心攻击者利用泄露的内部服务数据发起攻击从而造成更严重的影响。
受影响的服务包括腾讯云内部使用的负载均衡器和腾讯云推广的开源开发平台 JEECG 的部署,暴露的文件包含硬件编码的纯文本密码、敏感的内部.git 目录以及其他可能会被利用的信息。
CYBERNEWS 的研究人员表示:攻击者如果获取这些信息则可以利用密码获得腾讯云管理控制台的直接访问权,甚至借助泄露的凭证完全控制腾讯云后端基础设施或内部服务。
发现问题后研究人员立即向腾讯云报告问题并得到答案,腾讯云承认问题但表示已经有其他研究人员报告过,腾讯云已经采取措施解决这次安全问题。
CYBERNEWS 的研究人员最初是在 2025 年 7 月下旬扫描互联网查找配置错误的服务器时发现这个问题的,根据历史数据,配置错误的服务器至少从 2025 年 4 月就暴露在网上,在修复前可能已经持续暴露几个月。
AI助手
资讯
常用工具
网站模板