Výzkumný tým Cybernews objevil v červenci 2025 kritické nedostatky v konfiguraci dvou webů společnosti Tencent Cloud. Chyby zpřístupnily konfigurační soubory s pevně zadanými hesly a veřejný adresář .git, což umožnilo stáhnout interní zdrojové kódy i citlivá přístupová data.
Podle zjištění byly soubory dostupné nejméně od dubna 2025. Jeden z webů souvisel s interním load balancerem Tencentu, druhý využíval open-source platformu JEECG podporovanou Tencent Cloudem.
V obou případech hrozilo, že útočníci získají plný administrativní přístup k backendové infrastruktuře nebo interním službám cloudu.
Zveřejněné přihlašovací údaje byla slabá hesla v podobě názvu firmy, roku a symbolů, tedy snadno prolomitelná slovníkovým útokem. Přístupný repozitář .git navíc umožňoval rekonstruovat zdrojový kód a odhalit rootová data ke konzoli.
Potenciální následky podle Cybernews:
- úplný přístup k produkčním systémům,
- manipulace s interními API,
- vložení škodlivého kódu do frontendových aplikací,
- rozšíření útoku do dalších částí infrastruktury,
- využití důvěryhodné domény Tencentu pro phishing.
Tencent označil incident za „známý problém“ a přístup k souborům zablokoval. Odpovědi na dotazy Cybernews však do doby zveřejnění neposkytl.
Výzkumníci varují, že dlouhodobé zpřístupnění dat vyvolává otázku, kolik botů nebo útočníků k nim mohlo mezitím přistoupit. Podle jejich slov ukazuje případ, že ani velcí technologičtí hráči nejsou imunní vůči základním provozním chybám, které mohou ohrozit miliony uživatelů po celém světě.
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU