全球超1200万.env文件果真袒露

首页 > 清静研究 > 清静转达 > 清静简讯

全球超1200万.env文件果真袒露

宣布时间 2026-03-02

1. 全球超1200万.env文件果真袒露

2月27日，，，，，，Mysterium VPN研究职员发明全球12,088,677个IP地点保存可果真会见的.env名堂文件，，，，，，泄露包括JWT署名密钥、API密钥、数据库密码等敏感信息。。。。。。此类文件因存储应用程序情形变量（如数据库URL、云会见密钥）而普遍使用，，，，，，但其精练性也带来危害，，，，，，若效劳器未屏障隐藏文件会见，，，，，，攻击者可直接请求"/.env"下载实时凭证，，，，，，无需使用误差即可绕过入侵阶段，，，，，，直接使用有用凭证登录系统、盘问数据库、伪造令牌或滥用API。。。。。。此次泄露呈全球性漫衍：美国受影响IP近280万（占23%），，，，，，日本、德国、印度、法国、英国等国亦超百万，，，，，，批注问题源于跨行业的普遍运维过失，，，，，，而非简单平台缺陷。。。。。。泄露效果严重，，，，，，数据库凭证可致数据窃取，，，，，，API密钥可能引发金融诈骗，，，，，，JWT密钥被用于账户挟制，，，，，，SMTP凭证则助长网络垂纶，，，，，，云存储密钥更可能袒露备份文件与内部文档。。。。。。基础缘故原由多源于可预防的设置失误：缺失隐藏文件拒绝规则、反向署理转发敏感路径、静态根目录指向项目全目录、容器镜像嵌入密钥，，，，，，或备份文件（如.env.bak）未整理。。。。。。

https://securityaffairs.com/188590/hacking/12-million-exposed-env-files-reveal-widespread-security-failures.html

2. OpenClaw高危误差“ClawJacked”被披露及修复

3月1日，，，，，，清静研究职员Oasis Security披露了盛行自托管AI平台OpenClaw中名为“ClawJacked”的高危误差。。。。。。该误差源于OpenClaw网关效劳默认绑定localhost并袒露WebSocket接口，，，，，，因浏览器跨域战略不阻止WebSocket毗连localhost，，，，，，恶意网站可使用JavaScript静默建设毗连，，，，，，实验暴力破解外地实例的会见权限。。。。。。只管OpenClaw设有速率限制，，，，，，但默认对回环地点（127.0.0.1）不启用限制，，，，，，导致外地CLI会话不会触发锁定机制。。。。。。攻击者可每秒提倡数百次密码推测，，，，，，常用密码列表可在1秒内被破解，，，，，，大型字典也仅需数分钟。。。。。。一旦获取治理员密码，，，，，，攻击者能静默注册为受信任装备，，，，，，网关会自动批准来自localhost的装备配对，，，，，，无需用户确认。。。。。。以后，，，，，，攻击者可直接操控AI平台，，，，，，执行转储凭证、窃取文件、读取日志、搜索新闻历史中的敏感信息，，，，，，甚至在配对节点上执行恣意shell下令，，，，，，最终导致用户事情站被完全攻破。。。。。。OpenClaw于2月26日紧迫宣布2026.2.26版本修复误差。。。。。。

https://www.bleepingcomputer.com/news/security/clawjacked-attack-let-malicious-websites-hijack-openclaw-to-steal-data/

3. QuickLens Chrome扩展被黑秩蚊钱币偷窃

2月28日，，，，，，名为“QuickLens - Search Screen with Google Lens”的Chrome扩展程序因被恶意入侵，，，，，，导致约7000名用户面临加密钱币被盗危害，，，，，，最终被谷歌从Chrome网上应用市肆下架。。。。。。该扩展最初允许用户直接在浏览器中运行Google Lens搜索，，，，，，曾获Google推荐徽章，，，，，，用户量迅速增添至7000人。。。。。。然而，，，，，，2月17日宣布的5.8版本被植入恶意剧本，，，，，，引入ClickFix攻击和信息窃取功效，，，，，，成为清静事务导火索。。。。。。清静研究职员发明，，，，，，扩展程序在ExtensionHub市场挂牌出售并变换所有权后，，，，，，新所有者于2月1日接受，，，，，，并启用保存问题的隐私政策。。。。。。两周后，，，，，，恶意更新推送，，，，，，请求declarativeNetRequestWithHostAccess和webRequest等新权限，，，，，，移除所有页面和框架的清静标头，，，，，，使恶意剧本更易执行。。。。。。该版本还与C2效劳器通讯，，，，，，天生长期性UUID，，，，，，识别用户浏览器、操作系统及国家/地区，，，，，，每五分钟轮询指令。。。。。。用户报告称会见网页时频仍泛起虚伪Google更新提醒，，，，，，点击后触发ClickFix攻击，，，，，，下载信息窃取恶意可执行文件。。。。。。

https://www.bleepingcomputer.com/news/security/quicklens-chrome-extension-steals-crypto-shows-clickfix-attack/

4. 加拿大轮胎公司超3800万账户数据泄露

2月28日，，，，，，加拿大零售巨头加拿大轮胎公司（CTC）2025年10月遭遇其历史上最严重的数据泄露事务，，，，，，影响凌驾3800万个账户，，，，，，成为加拿大零售业规模最大的数据清静事务之一。。。。。。此次事务引发公众对客户隐私及敏感信息清静的普遍担心。。。。。。据公司披露，，，，，，2025年10月2日，，，，，，CTC发明其电子商务数据库遭不法会见，，，，，，导致客户信息泄露。。。。。。泄露数据涵盖基础小我私家信息，，，，，，包括姓名、地点、电子邮件地点、出生年份、加密密码（接纳PBKDF2哈希值存储），，，，，，部分账户袒露截断的信用卡号码及不到15万账户的完整出生日期。。。。。。值得注重的是，，，，，，公司强调泄露的财务数据无法直接用于账户会见、生意或购置操作，，，，，，且实体店生意系统、加拿大轮胎银行及Triangle Rewards奖励妄想未受影响，，，，，，电子商务系统仍正常运行。。。。。。事务爆发后，，，，，，CTC迅速接纳应对步伐：已定位并修复系统误差，，，，，，同步向羁系机构转达情形，，，，，，并妄想自动联系受影响用户提供信用监控效劳以降低身份偷窃危害。。。。。。

https://securityaffairs.com/188659/data-breach/canadian-tire-2025-data-breach-impacts-38-million-users.html

5. 三星与德克萨斯州就智能电视数据案息争

3月1日，，，，，，三星与美国德克萨斯州就其智能电视涉嫌不法网络用户寓目内容信息一事告竣息争协议。。。。。。此次纠纷源于德克萨斯州总审查长肯·帕克斯顿于去年12月对三星等电视制造商提起的诉讼，，，，，，指控其使用自动内容识别（ACR）手艺网络用户寓目数据时，，，，，，未事先获得消耗者的明确知情赞成，，，，，，违反了《德克萨斯州诱骗性商业行为法》（DTPA）。。。。。。今年1月，，，，，，法院曾针对三星宣布短期暂时限制令（TRO），，，，，，要求其阻止在该州不法网络消耗者数据，，，，，，只管该下令越日被作废，，，，，，但诉讼一连推进。。。。。。凭证息争协议，，，，，，三星需修改其隐私披露声明，，，，，，以清晰易懂的方法向消耗者诠释数据网络和处置惩罚的详细做法。。。。。。协议明确要求，，，，，，三星在未获得德克萨斯州消耗者明确赞成的情形下，，，，，，必需阻止网络或处置惩罚任何ACR寓目数据。。。。。。同时，，，，，，三星需连忙更新智能电视系统，，，，，，实验醒目的披露和赞成界面，，，，，，确保用户能够充分知情并自主决议数据使用方法。。。。。。总审查长帕克斯顿对此体现认可，，，，，，同时指出其他智能电视制造商如索尼、LG、海信和TCL科技尚未对此类诉讼接纳类似刷新步伐。。。。。。

https://www.bleepingcomputer.com/news/security/samsung-tvs-to-stop-collecting-texans-data-without-express-consent/

6. 微软揭破游戏工具撒播远程会见木马攻击链

3月1日，，，，，，微软威胁情报中心克日披露，，，，，，攻击者正通过伪造游戏工具撒播远程会见木马（RAT），，，，，，形成多阶段熏染链。。。。。。攻击者使用浏览器、谈天平台分发木马化可执行文件，，，，，，如Xeno.exe、RobloxPlayerBeta.exe等，，，，，，这些文件外貌伪装成正当游戏工具，，，，，，实则作为下载器启动攻击。。。。。。初始熏染阶段，，，，，，下载器会装置便携式Java运行时情形，，，，，，并执行恶意Java归档文件（如jd-gui.jar）。。。。。。攻击者巧妙使用Windows内置工具（LOLBins）如cmstp.exe，，，，，，通过PowerShell执行下令，，，，，，将恶意操作伪装成正常系统历程，，，，，，降低被清静软件检测的危害。。。。。。PowerShell剧本随后实验毗连多个远程效劳器，，，，，，将update.exe下载至用户外地应用数据目录并自动运行。。。。。。恶意软件运行后，，，，，，连忙扫除原始下载器痕迹，，，，，，并改动Microsoft Defender设置，，，，，，将自身添加至扫除列表，，，，，，规避清静引擎监控。。。。。。为实现长期化控制，，，，，，攻击者通过妄想使命和world.vbs启动剧本建设系统后门，，，，，，确珍重启后仍能一连运行。。。。。。该RAT集加载器、下载器、远程会见功效于一体，，，，，，允许攻击者恒久操控受熏染装备，，，，，，执行窃取数据、推送其他恶意载荷等操作。。。。。。

https://hackread.com/microsoft-fake-xeno-roblox-utilities-windows-rat/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

百乐博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系百乐博

清静研究