腾讯旗下网站泄露敏感凭证,后端系统面临黑客攻击风险
HackerNews 编译,转载请注明出处: Cybernews研究人员发现腾讯云两个站点存在严重配置错误,导致敏感凭证和内部源代码暴露。这些关键漏洞可能使攻击者获得腾讯云内部服务及后端基础设施的完全访问权限。 核心要点: 腾讯云两个站点存在严重配置错误,暴露了敏感凭证与内部源代码。 含有硬编码管理员控制台凭证的环境文件及.git目录已公开数月,危及数百万腾讯云用户。 腾讯承认这是“已知问题”并已关闭访问权限。 2025年7月23日,Cybernews研究团队发现腾讯云官方域名的两个子域名意外暴露了配置文件。 暴露文件包含硬编码的明文密码、敏感的.git内部目录及其他可能被外部攻击者滥用的信息。 其中一个受影响服务涉及腾讯内部负载均衡器,另一子域名则是腾讯云推广的开源开发平台JEECG的部署实例。 硬编码凭证似乎可直接访问腾讯云管理控制台。 “若被恶意攻击者发现,这些凭证可能使其获得腾讯云后端基础设施或内部服务的完全控制权。”Cybernews研究人员表示。 此外,暴露的.git文件夹(用于存储项目历史记录和文件变更追踪)允许下载并重构腾讯云基础设施内部部署的源代码。控制台的根凭证也在此被发现。 暴露的密码强度薄弱且易受字典攻击,其组合方式仅包含公司名称、年份及简单符号。 历史数据调查显示,这些敏感文件至少从2025年4月起已暴露数月。 Cybernews已向腾讯云负责任地披露该发现。腾讯承认这是此前报告过的“已知问题”。漏洞现已修复,但截至发稿腾讯未回应置评请求。 黑客的敞开后门 若黑客获取这些公开配置文件,潜在后果可能极其严重,或引发针对腾讯全球用户的破坏性网络攻击。 “这为攻击者开辟了多种利用途径,”研究人员指出,“长期暴露引发严重担忧:多少爬虫机器人已获取数据?是否已被用于恶意目的?” 攻击者利用错误配置可能实现以下行为: 获取生产系统完全管理权限 篡改内部API服务 在可信前端代码中植入恶意负载 进一步渗透腾讯内部云基础设施 滥用可信腾讯域名进行钓鱼攻击 “当涉及云控制台、源代码和根权限时,没有所谓的小漏洞。腾讯云作为知名技术平台,仍难避免基础运维疏忽。”研究人员解释称。 尽管未尝试访问密码保护服务或克隆内部仓库,但可见暴露数据表明其涉及预发布和生产环境,意味着双重环境均受影响。 “当今开发者被鼓励盲目信任云服务。此次事件证明微小错误可升级为高风险故障,在供应链中引发连锁漏洞,”研究人员强调,“腾讯等巨头承载着用户对品牌的信任,攻击者对此心知肚明。” 腾讯云作为全球主要云服务商,隶属中国科技巨头腾讯控股,服务超1000万用户。其基础设施支撑着游戏、金融、通信及企业应用领域服务,每日触达全球数百万用户。 消息来源: cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文