Due siti appartenenti a Tencent Cloud hanno subito una grave esposizione di credenziali e codice sorgente interno a causa di errori di configurazione. La falla, scoperta dai ricercatori di Cybernews, ha permesso per mesi l’accesso pubblico a file sensibili che avrebbero potuto aprire le porte del backend dell’infrastruttura cloud del colosso cinese a potenziali cybercriminali.
Credenziali hardcoded e codice sorgente accessibile
Il team di ricerca ha individuato, lo scorso 23 luglio 2025, file di configurazione esposti in due sottodomini ufficiali di Tencent Cloud. All’interno erano presenti password in chiaro per la console amministrativa, directory .git con la cronologia dei progetti e informazioni tecniche riservate. Una delle istanze vulnerabili riguardava un bilanciatore di carico interno, mentre l’altra era legata a JEECG, una piattaforma di sviluppo open-source promossa dalla stessa Tencent Cloud.
Gli esperti hanno rilevato che le credenziali hardcoded garantivano l’accesso diretto al pannello amministrativo della piattaforma cloud, mentre la directory .git consentiva di ricostruire interamente il codice sorgente dei sistemi interni, rivelando persino credenziali root. Le password erano inoltre deboli, composte da schemi prevedibili come nome aziendale, anno e simboli, esponendosi così a semplici attacchi a dizionario.
Un’esposizione durata mesi
Secondo l’analisi dei dati storici, i file sensibili sarebbero stati accessibili almeno da aprile 2025, quindi per un periodo di diversi mesi. Nonostante la gravità della situazione, Tencent ha definito l’incidente come un problema “già noto” e ha chiuso l’accesso soltanto dopo la segnalazione. L’azienda non ha rilasciato ulteriori commenti al momento della pubblicazione.
Cybernews ha precisato di non aver tentato l’accesso ai servizi protetti da password né di aver clonato i repository interni, ma ha sottolineato che i dati esposti erano collegati sia ad ambienti di staging sia di produzione. Questo significa che gli impatti potenziali non erano limitati a un contesto di test, bensì potevano riguardare sistemi reali e in uso quotidiano.
Implicazioni di sicurezza per utenti e aziende
Se intercettata da attori malevoli, questa esposizione avrebbe potuto consentire:
- Accesso amministrativo completo ai sistemi di produzione.
- Manomissione delle API interne.
- Inserimento di payload malevoli nel codice frontend.
- Accesso all’infrastruttura cloud interna con possibilità di muoversi lateralmente.
- Abusi del dominio Tencent per campagne di phishing sofisticate.
I ricercatori hanno avvertito che “quando in gioco ci sono console cloud, codice sorgente e accessi root, non esiste un piccolo incidente. Anche piattaforme avanzate come Tencent Cloud possono cadere vittime di sviste operative basilari”.
Una lezione di sicurezza nella supply chain digitale
L’episodio evidenzia come anche i grandi provider cloud non siano immuni da errori elementari. Secondo Cybernews, il caso dimostra che la fiducia cieca nella sicurezza del cloud può trasformarsi in una catena di vulnerabilità lungo tutta la supply chain digitale.
“Viviamo in un’epoca in cui gli sviluppatori si affidano in maniera quasi automatica al cloud. Tuttavia, anche un singolo errore può degenerare in un problema di vasta portata, con conseguenze critiche per utenti e aziende”, hanno commentato i ricercatori.
Tencent Cloud sotto la lente
Tencent Cloud, divisione del colosso Tencent Holdings, serve oltre 10 milioni di utenti a livello globale e sostiene applicazioni in settori cruciali come gaming, finanza, comunicazione ed enterprise. Un’esposizione come quella scoperta non rappresenta soltanto un rischio per l’azienda, ma anche per l’intero ecosistema che si affida ai suoi servizi.
La tempistica dell’incidente:
- Scoperta: 23 luglio 2025
- Disclosure a Tencent: 24 luglio 2025
- Conferma e chiusura accesso: entro il 25 agosto 2025
- Pubblica divulgazione: 27 agosto 2025
