騰訊雲出現嚴重安全事故，服務器配置錯誤導致內部敏感信息在網上暴露數月

VIA：藍點網

網絡安全公司 CYBERNEWS 日前發佈報告披露在騰訊雲發現的安全問題，問題發生原因是騰訊雲存在嚴重的配置錯誤，導致包含敏感憑證和內部源代碼的環境泄露到公網上。

接着這些數據攻擊者可能可以完全訪問騰訊雲內部服務和後端基礎設施，泄露的數據用於測試環境和生產環境，暴露在公網後可能會被機器人抓取造成嚴重的數據泄露事件。

這起事件與使用騰訊雲的客戶沒有直接關係，客戶的賬號密碼和其他數據不受影響，但研究人員擔心攻擊者利用泄露的內部服務數據發起攻擊從而造成更嚴重的影響。

受影響的服務包括騰訊雲內部使用的負載均衡器和騰訊雲推廣的開源開發平臺 JEECG 的部署，暴露的文件包含硬件編碼的純文本密碼、敏感的內部.git 目錄以及其他可能會被利用的信息。

CYBERNEWS 的研究人員表示：攻擊者如果獲取這些信息則可以利用密碼獲得騰訊雲管理控制檯的直接訪問權，甚至藉助泄露的憑證完全控制騰訊雲後端基礎設施或內部服務。

發現問題後研究人員立即向騰訊雲報告問題並得到答案，騰訊雲承認問題但表示已經有其他研究人員報告過，騰訊雲已經採取措施解決這次安全問題。

CYBERNEWS 的研究人員最初是在 2025 年 7 月下旬掃描互聯網查找配置錯誤的服務器時發現這個問題的，根據歷史數據，配置錯誤的服務器至少從 2025 年 4 月就暴露在網上，在修復前可能已經持續暴露幾個月。