全球超1200万.env文件公开露出

首页 > 安全钻研 > 安全传递 > 安全简讯

全球超1200万.env文件公开露出

颁布功夫 2026-03-02

1. 全球超1200万.env文件公开露出

2月27日，Mysterium VPN钻研人员发现全球12,088,677个IP地址存在可公开接见的.env体式文件，泄露蕴含JWT署名密钥、API密钥、数据库密码等敏感信息。此类文件因存储利用法式环境变量（如数据库URL、云接见密钥）而宽泛使用，但其简洁性也带来风险，若服务器未屏蔽暗藏文件接见，攻击者可直接要求"/.env"下载实时痛处，无需利用缝隙即可绕过入侵阶段，直接使用有效凭证登录系统、查问数据库、伪造令牌或滥用API。这次泄露呈全球性散布：美国受影响IP近280万（占23%），日本、德国、印度、法国、英国等国亦超百万，批注问题源于跨行业的普遍运维谬误，而非单一平台缺点。泄露后果严沉，数据库凭证可致数据窃取，API密钥可能引发金融诳骗，JWT密钥被用于账户劫持，SMTP凭证则助长网络垂钓，云存储密钥更可能露出备份文件与内部文档。底子原因多源于可预防的配置失误：缺失暗藏文件回绝规定、反向代理转发敏感蹊径、静态根目录指向项目全目录、容器镜像嵌入密钥，或备份文件（如.env.bak）未算帐。

https://securityaffairs.com/188590/hacking/12-million-exposed-env-files-reveal-widespread-security-failures.html

2. OpenClaw高危缝隙“ClawJacked”被披露及建复

3月1日，安全钻研人员Oasis Security披露了盛行自托管AI平台OpenClaw中名为“ClawJacked”的高危缝隙。该缝隙源于OpenClaw网关服务默认绑定localhost并露出WebSocket接口，因浏览器跨域战术不阻止WebSocket衔接localhost，恶意网站可利用JavaScript静默成立衔接，尝试暴力破解本地事俘的接见权限。只管OpenClaw设有快率限度，但默认对回环地址（127.0.0.1）不启用限度，导致本地CLI会话不会触发锁定机造。攻击者可每秒提议数百次密码猜测，常用密码列表可在1秒内被破解，大型字典也仅需数分钟。一旦获取治理员密码，攻击者能静默注册为受信赖设备，网关会自动核准来自localhost的设备配对，无需用户确认。尔后，攻击者可直接操控AI平台，执行转储痛处、窃取文件、读取日志、搜索新闻汗青中的敏感信息，甚至在配对节点上执行肆意shell号令，最终导致用户工作站被齐全攻破。OpenClaw于2月26日垂危颁布2026.2.26版本建复缝隙。

https://www.bleepingcomputer.com/news/security/clawjacked-attack-let-malicious-websites-hijack-openclaw-to-steal-data/

3. QuickLens Chrome扩大被黑致加密钱币偷窃

2月28日，名为“QuickLens - Search Screen with Google Lens”的Chrome扩大法式因被恶意入侵，导致约7000名用户面对加密钱币被盗风险，最终被谷歌从Chrome网上利用商店下架。该扩大最初允许用户直接在浏览器中运行Google Lens搜索，曾获Google推荐徽章，用户量迅快增长至7000人。然而，2月17日颁布的5.8版本被植入恶意剧本，引入ClickFix攻击和信息窃取职能，成为安全事务导火索。安全钻研人员发现，扩大法式在ExtensionHub市场挂牌销售并调换所有权后，新所有者于2月1日收受，并启用存在问题的隐衷政策。两周后，恶意更新推送，要求declarativeNetRequestWithHostAccess和webRequest等新权限，移除所有页面和框架的安全标头，使恶意剧本更易执行。该版本还与C2服务器通讯，天生悠久性UUID，鉴别用户浏览器、操作系统及国度/地域，每五分钟轮询指令。用户汇报称接见网页时频仍出现虚伪Google更新提醒，点击后触发ClickFix攻击，下载信息窃取恶意可执行文件。

https://www.bleepingcomputer.com/news/security/quicklens-chrome-extension-steals-crypto-shows-clickfix-attack/

4. 加拿大轮胎公司超3800万账户数据泄露

2月28日，加拿大零售巨头加拿大轮胎公司（CTC）2025年10月遭逢其汗青上最严沉的数据泄露事务，影响超过3800万个账户，成为加拿大零售业规模最大的数据安全事务之一。这次事务引发公家对客户隐衷及敏感信息安全的宽泛忧郁。据公司披露，2025年10月2日，CTC发显熹电子商务数据库遭犯法接见，导致客户信息泄露。泄露数据涵盖基础幼我信息，蕴含姓名、地址、电子邮件地址、诞生年份、加密密码（选取PBKDF2哈希值存储），部门账户露出截断的信誉卡号码及不到15万账户的齐全诞生日期。值妥贴心的是，公司强调泄露的财政数据无法直接用于账户接见、买卖或采办操作，且实体店买卖系统、加拿大轮胎银行及Triangle Rewards嘉奖打算未受影响，电子商务系统仍正常运行。事务产生后，CTC迅快采取应对措施：已定位并建复系统缝隙，同步向监管机构传递情况，并打算自动联系受影响用户提供信誉监控服务以降低身份偷窃风险。

https://securityaffairs.com/188659/data-breach/canadian-tire-2025-data-breach-impacts-38-million-users.html

5. 三星与德克萨斯州就智能电视数据案和解

3月1日，三星与美国德克萨斯州就其智能电视涉嫌犯法网络用户旁观内容信息一事达成和解和谈。这次纠纷源于德克萨斯州总检察长肯·帕克斯顿于去年12月对三星等电视造作商提起的诉讼，指控其使用自动内容鉴别（ACR）技术网络用户旁观数据时，未事先获得消费者的明确知情赞成，违反了《德克萨斯州糊弄性业务行为法》（DTPA）。今年1月，法院曾针对三星颁布短期一时限度令（TRO），要求其终场在该州犯法网络消费者数据，只管该号令次日被撤销，但诉讼持续推动。凭据和解和谈，三星需批改其隐衷披露申明，以清澈易懂的方式向消费者诠释数据网络和处置的具体做法。和谈明确要求，三星在未获得德克萨斯州消费者明确赞成的情况下，必须终场网络或处置任何ACR旁观数据。同时，三星需当即更新智能电视系统，执行能干的披露和赞成界面，确保用户可能充分知情并自主决定数据使用方式。总检察长帕克斯顿对此暗示认可，同时指出其他智能电视造作商如索尼、LG、海信和TCL科技尚未对此类诉讼采取类似改进措施。

https://www.bleepingcomputer.com/news/security/samsung-tvs-to-stop-collecting-texans-data-without-express-consent/

6. 微软告发游戏工具传布远程接见木马攻击链

3月1日，微软威胁谍报中心近日披露，攻击者正通过伪造游戏工具传布远程接见木马（RAT），形成多阶段习染链。攻击者利用浏览器、谈天平台分发木马化可执行文件，如Xeno.exe、RobloxPlayerBeta.exe等，这些文件表表假装成合法游戏工具，实则作为下载器启动攻击。初始习染阶段，下载器会装置便携式Java运行时环境，并执行恶意Java归档文件（如jd-gui.jar）。攻击者奇妙利用Windows内置工具（LOLBins）如cmstp.exe，通过PowerShell执行号令，将恶意操作假装成正常系统过程，降低被安全软件检测的风险。PowerShell剧本随后尝试衔接多个远程服务器，将update.exe下载至用户本地利用数据目录并自动运行。恶意软件运行后，当即断根原始下载器痕迹，并篡改Microsoft Defender设置，将自身增长至排除列表，躲避安全引擎监控。为实现悠久化节造，攻击者通过打算工作和world.vbs启动剧本创建系统后门，确保沉启后仍能持续运行。该RAT集加载器、下载器、远程接见职能于一体，允许攻击者持久操控受习染设备，执行窃取数据、推送其他恶意载荷等操作。

https://hackread.com/microsoft-fake-xeno-roblox-utilities-windows-rat/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研