网络安全研究机构CYBERNEWS近日发布报告称，腾讯云因存在严重配置错误，导致敏感凭证和内部源代码环境暴露于公共互联网。这些暴露的资产可能使攻击者获得腾讯云内部服务和后端基础设施的完全访问权限。与测试及生产环境相关的泄露数据处于公开可访问状态，面临被自动化爬虫抓取的风险，可能引发重大数据泄露事件。

内部服务数据或引发连锁攻击

此次事件未直接影响腾讯云客户，用户账户凭证及其他个人数据仍处于安全状态。但研究人员担忧，攻击者可能利用泄露的内部服务数据发起更大范围的攻击，从而放大潜在影响。受影响服务包括腾讯云内部使用的负载均衡器以及其推广的开源开发平台JEECG的部署实例。暴露文件包含硬编码的明文密码、敏感的.git内部目录及其他可被利用的信息。

潜在危害与时间线追溯

CYBERNEWS研究人员指出，若攻击者获取这些数据，可利用密码直接访问腾讯云管理控制台，并通过暴露的凭证完全控制后端基础设施与内部服务。该配置错误最早于2025年7月下旬通过全网扫描发现。历史证据表明相关服务器至少自2025年4月起就处于公开暴露状态，这意味着数据在修复前可能已存在数月漏洞窗口期。

研究人员发现该问题后立即向腾讯云报告，后者确认漏洞但表示已收到其他研究人员反馈。腾讯云称目前已实施修复措施，相关访问已被关闭。

信息来源：FreeBuf https://www.freebuf.com/articles/database/446233.html