全球超1200万.env文件公开暴露
发布时间 2026-03-021. 全球超1200万.env文件公开暴露
2月27日,Mysterium VPN研究人员发现全球12,088,677个IP地址存在可公开访问的.env格式文件,泄露包括JWT签名密钥、API密钥、数据库密码等敏感信息。此类文件因存储应用程序环境变量(如数据库URL、云访问密钥)而广泛使用,但其简洁性也带来风险,若服务器未屏蔽隐藏文件访问,攻击者可直接请求"/.env"下载实时凭据,无需利用漏洞即可绕过入侵阶段,直接使用有效凭证登录系统、查询数据库、伪造令牌或滥用API。此次泄露呈全球性分布:美国受影响IP近280万(占23%),日本、德国、印度、法国、英国等国亦超百万,表明问题源于跨行业的普遍运维错误,而非单一平台缺陷。泄露后果严重,数据库凭证可致数据窃取,API密钥可能引发金融诈骗,JWT密钥被用于账户劫持,SMTP凭证则助长网络钓鱼,云存储密钥更可能暴露备份文件与内部文档。根本原因多源于可预防的配置失误:缺失隐藏文件拒绝规则、反向代理转发敏感路径、静态根目录指向项目全目录、容器镜像嵌入密钥,或备份文件(如.env.bak)未清理。
https://securityaffairs.com/188590/hacking/12-million-exposed-env-files-reveal-widespread-security-failures.html
2. OpenClaw高危漏洞“ClawJacked”被披露及修复
3月1日,安全研究人员Oasis Security披露了流行自托管AI平台OpenClaw中名为“ClawJacked”的高危漏洞。该漏洞源于OpenClaw网关服务默认绑定localhost并暴露WebSocket接口,因浏览器跨域策略不阻止WebSocket连接localhost,恶意网站可利用JavaScript静默建立连接,尝试暴力破解本地实例的访问权限。尽管OpenClaw设有速率限制,但默认对回环地址(127.0.0.1)不启用限制,导致本地CLI会话不会触发锁定机制。攻击者可每秒发起数百次密码猜测,常用密码列表可在1秒内被破解,大型字典也仅需数分钟。一旦获取管理员密码,攻击者能静默注册为受信任设备,网关会自动批准来自localhost的设备配对,无需用户确认。此后,攻击者可直接操控AI平台,执行转储凭据、窃取文件、读取日志、搜索消息历史中的敏感信息,甚至在配对节点上执行任意shell命令,最终导致用户工作站被完全攻破。OpenClaw于2月26日紧急发布2026.2.26版本修复漏洞。
https://www.bleepingcomputer.com/news/security/clawjacked-attack-let-malicious-websites-hijack-openclaw-to-steal-data/
3. QuickLens Chrome扩展被黑致加密货币盗窃
2月28日,名为“QuickLens - Search Screen with Google Lens”的Chrome扩展程序因被恶意入侵,导致约7000名用户面临加密货币被盗风险,最终被谷歌从Chrome网上应用商店下架。该扩展最初允许用户直接在浏览器中运行Google Lens搜索,曾获Google推荐徽章,用户量迅速增长至7000人。然而,2月17日发布的5.8版本被植入恶意脚本,引入ClickFix攻击和信息窃取功能,成为安全事件导火索。安全研究人员发现,扩展程序在ExtensionHub市场挂牌出售并变更所有权后,新所有者于2月1日接管,并启用存在问题的隐私政策。两周后,恶意更新推送,请求declarativeNetRequestWithHostAccess和webRequest等新权限,移除所有页面和框架的安全标头,使恶意脚本更易执行。该版本还与C2服务器通信,生成持久性UUID,识别用户浏览器、操作系统及国家/地区,每五分钟轮询指令。用户报告称访问网页时频繁出现虚假Google更新提醒,点击后触发ClickFix攻击,下载信息窃取恶意可执行文件。
https://www.bleepingcomputer.com/news/security/quicklens-chrome-extension-steals-crypto-shows-clickfix-attack/
4. 加拿大轮胎公司超3800万账户数据泄露
2月28日,加拿大零售巨头加拿大轮胎公司(CTC)2025年10月遭遇其历史上最严重的数据泄露事件,影响超过3800万个账户,成为加拿大零售业规模最大的数据安全事件之一。此次事件引发公众对客户隐私及敏感信息安全的广泛担忧。据公司披露,2025年10月2日,CTC发现其电子商务数据库遭非法访问,导致客户信息泄露。泄露数据涵盖基础个人信息,包括姓名、地址、电子邮件地址、出生年份、加密密码(采用PBKDF2哈希值存储),部分账户暴露截断的信用卡号码及不到15万账户的完整出生日期。值得注意的是,公司强调泄露的财务数据无法直接用于账户访问、交易或购买操作,且实体店交易系统、加拿大轮胎银行及Triangle Rewards奖励计划未受影响,电子商务系统仍正常运行。事件发生后,CTC迅速采取应对措施:已定位并修复系统漏洞,同步向监管机构通报情况,并计划主动联系受影响用户提供信用监控服务以降低身份盗窃风险。
https://securityaffairs.com/188659/data-breach/canadian-tire-2025-data-breach-impacts-38-million-users.html
5. 三星与德克萨斯州就智能电视数据案和解
3月1日,三星与美国德克萨斯州就其智能电视涉嫌非法收集用户观看内容信息一事达成和解协议。此次纠纷源于德克萨斯州总检察长肯·帕克斯顿于去年12月对三星等电视制造商提起的诉讼,指控其使用自动内容识别(ACR)技术收集用户观看数据时,未事先获得消费者的明确知情同意,违反了《德克萨斯州欺骗性贸易行为法》(DTPA)。今年1月,法院曾针对三星发布短期临时限制令(TRO),要求其停止在该州非法收集消费者数据,尽管该命令次日被撤销,但诉讼持续推进。根据和解协议,三星需修改其隐私披露声明,以清晰易懂的方式向消费者解释数据收集和处理的具体做法。协议明确要求,三星在未获得德克萨斯州消费者明确同意的情况下,必须停止收集或处理任何ACR观看数据。同时,三星需立即更新智能电视系统,实施醒目的披露和同意界面,确保用户能够充分知情并自主决定数据使用方式。总检察长帕克斯顿对此表示认可,同时指出其他智能电视制造商如索尼、LG、海信和TCL科技尚未对此类诉讼采取类似改进措施。
https://www.bleepingcomputer.com/news/security/samsung-tvs-to-stop-collecting-texans-data-without-express-consent/
6. 微软揭露游戏工具传播远程访问木马攻击链
3月1日,微软威胁情报中心近日披露,攻击者正通过伪造游戏工具传播远程访问木马(RAT),形成多阶段感染链。攻击者利用浏览器、聊天平台分发木马化可执行文件,如Xeno.exe、RobloxPlayerBeta.exe等,这些文件表面伪装成合法游戏工具,实则作为下载器启动攻击。初始感染阶段,下载器会安装便携式Java运行时环境,并执行恶意Java归档文件(如jd-gui.jar)。攻击者巧妙利用Windows内置工具(LOLBins)如cmstp.exe,通过PowerShell执行命令,将恶意操作伪装成正常系统进程,降低被安全软件检测的风险。PowerShell脚本随后尝试连接多个远程服务器,将update.exe下载至用户本地应用数据目录并自动运行。恶意软件运行后,立即清除原始下载器痕迹,并篡改Microsoft Defender设置,将自身添加至排除列表,规避安全引擎监控。为实现持久化控制,攻击者通过计划任务和world.vbs启动脚本创建系统后门,确保重启后仍能持续运行。该RAT集加载器、下载器、远程访问功能于一体,允许攻击者长期操控受感染设备,执行窃取数据、推送其他恶意载荷等操作。
https://hackread.com/microsoft-fake-xeno-roblox-utilities-windows-rat/
京公网安备11010802024551号