Investigadores da Cybernews descobriram falhas críticas de configuração em dois subdomínios do Tencent Cloud que expuseram credenciais administrativas e código-fonte interno durante vários meses. A vulnerabilidade colocava em risco milhões de utilizadores da plataforma, uma das maiores fornecedoras globais de serviços de cloud, com mais de 10 milhões de clientes nos setores dos jogos, finanças, comunicações e empresas.
Segundo os investigadores, “se fossem encontradas por um ator malicioso, estas credenciais poderiam permitir acesso total à infraestrutura de backend ou a serviços internos do Tencent Cloud”. As equipas de análise sublinham ainda que, “quando estão em causa consolas de cloud, código-fonte e acessos root, não há tal coisa como uma fuga pequena”.
Entre os serviços afetados encontravam-se um load balancer interno da Tencent e um subdomínio associado ao JEECG, uma plataforma de desenvolvimento open-source promovida pela empresa. Os ficheiros de ambiente com credenciais da consola administrativa e diretórios .git ficaram acessíveis publicamente durante meses. As palavras-passe expostas eram fracas, construídas com combinações do nome da empresa, ano e símbolos, tornando-as vulneráveis a ataques de dicionário.
O impacto potencial era elevado: acesso administrativo completo a sistemas de produção, manipulação de APIs internas, inserção de cargas maliciosas em código de confiança, movimentos laterais na infraestrutura e até a exploração do domínio da Tencent em campanhas de phishing.
A Tencent confirmou a situação como um “problema conhecido” e encerrou os acessos comprometidos. Para os especialistas da Cybernews, este caso ilustra um risco mais amplo: “Vivemos numa era em que os programadores são incentivados a confiar cegamente na cloud. Este incidente mostra como erros aparentemente menores podem escalar para falhas críticas, criando cadeias de vulnerabilidades ao longo da supply chain”.
