網(wǎng)絡(luò)安全研究機(jī)構(gòu)CYBERNEWS近日發(fā)布報(bào)告稱，騰訊云因存在嚴(yán)重配置錯(cuò)誤，導(dǎo)致敏感憑證和內(nèi)部源代碼環(huán)境暴露于公共互聯(lián)網(wǎng)。這些暴露的資產(chǎn)可能使攻擊者獲得騰訊云內(nèi)部服務(wù)和后端基礎(chǔ)設(shè)施的完全訪問權(quán)限。與測試及生產(chǎn)環(huán)境相關(guān)的泄露數(shù)據(jù)處于公開可訪問狀態(tài)，面臨被自動(dòng)化爬蟲抓取的風(fēng)險(xiǎn)，可能引發(fā)重大數(shù)據(jù)泄露事件。

內(nèi)部服務(wù)數(shù)據(jù)或引發(fā)連鎖攻擊

此次事件未直接影響騰訊云客戶，用戶賬戶憑證及其他個(gè)人數(shù)據(jù)仍處于安全狀態(tài)。但研究人員擔(dān)憂，攻擊者可能利用泄露的內(nèi)部服務(wù)數(shù)據(jù)發(fā)起更大范圍的攻擊，從而放大潛在影響。受影響服務(wù)包括騰訊云內(nèi)部使用的負(fù)載均衡器以及其推廣的開源開發(fā)平臺(tái)JEECG的部署實(shí)例。暴露文件包含硬編碼的明文密碼、敏感的.git內(nèi)部目錄及其他可被利用的信息。

潛在危害與時(shí)間線追溯

CYBERNEWS研究人員指出，若攻擊者獲取這些數(shù)據(jù)，可利用密碼直接訪問騰訊云管理控制臺(tái)，并通過暴露的憑證完全控制后端基礎(chǔ)設(shè)施與內(nèi)部服務(wù)。該配置錯(cuò)誤最早于2025年7月下旬通過全網(wǎng)掃描發(fā)現(xiàn)。歷史證據(jù)表明相關(guān)服務(wù)器至少自2025年4月起就處于公開暴露狀態(tài)，這意味著數(shù)據(jù)在修復(fù)前可能已存在數(shù)月漏洞窗口期。

研究人員發(fā)現(xiàn)該問題后立即向騰訊云報(bào)告，后者確認(rèn)漏洞但表示已收到其他研究人員反饋。騰訊云稱目前已實(shí)施修復(fù)措施，相關(guān)訪問已被關(guān)閉。

信息來源：FreeBuf https://www.freebuf.com/articles/database/446233.html