云上數(shù)據(jù)泄露風險分析報告（第七期）關(guān)于綠盟科技29日起在深圳證券交易所創(chuàng)業(yè)板上市，證券代碼：關(guān)于星云實驗室了軟件定義安全的云安全防護體系。承擔并家、省、市以及行業(yè)重點單位創(chuàng)新研究課題化落地綠盟科技云安全解決方案、綠盟科技版權(quán)聲明前言01全球7-8月云上數(shù)據(jù)泄露典型事件解讀1事件一.MicrosoftAzure存儲容器配置錯誤導致510萬私人文件泄露7事件二.繞過關(guān)鍵詞過濾：ChatGPT泄露Windows產(chǎn)品密鑰10事件三.GitHub泄露600余個APP_KEY導致Laravel應(yīng)用面臨遠程代碼執(zhí)行風險13事件四.Cursor代碼編輯器曝MCP漏洞，攻擊者可進行RCE和持久化，可能導致敏感信息被竊取風險事件五.ChatGPTGoogleDrive連接器漏洞曝光：0Click操作即可竊取用戶敏感數(shù)據(jù)18事件六.ChatGPT對話內(nèi)容被公開，超過4500個由用戶創(chuàng)建的“分享鏈接”被公開索引事件七.GitHub殘留DanglingCommits導致數(shù)千個敏感憑證泄事件八.國外某高校使用的谷歌云盤因開啟文件公開訪問權(quán)限導致大規(guī)模學生個人信息泄露28事件九.嚴重0day漏洞被遠程利用，導致數(shù)十臺SharePoint服務(wù)器受到威脅，影響數(shù)千家政府機構(gòu)和私營公司30事件十.配置不當?shù)腅lasticsearch實例導致MagentaTV泄露超過3.24億條用戶日志02安全建議372.1針對雜項錯誤類的安全建議382.2針對社工類系統(tǒng)入侵的安全建議402.3針對遺失和被盜竊的資產(chǎn)的安全建議4103總結(jié)4204參考文獻44全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技通過提示詞誘導AI模型執(zhí)行惡意指令，甚至將敏感信息渲染為圖片以規(guī)避方應(yīng)用的集成，雖然提升了便捷性，但權(quán)限配置不當可能導致跨用戶間的敏全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球7-8月云上數(shù)據(jù)泄露典型事件解讀?2025綠盟科技全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技導致510萬私人文件泄露全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技AzureBlob提供了多種存儲層級（），l“可能包含敏感數(shù)據(jù)的容器被公開暴露”l“未經(jīng)身份認證訪問存儲容器”這些報警可以在配置出現(xiàn)異常時及時觸發(fā)并提醒安全團隊進行修復(fù)，但該存儲桶顯然沒全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技技術(shù)子技術(shù)利用方式T1610部署對象存儲N/A在部署AzureBlob對象存儲時配置錯誤，將訪問權(quán)限設(shè)置為公開，導致敏感數(shù)據(jù)暴露。T1593搜索開放網(wǎng)站/域.002搜索引擎攻擊者可能通過網(wǎng)絡(luò)空間搜索引擎（如Shodan、FOFA）發(fā)現(xiàn)暴露的AzureBlob存儲容器。T1133外部遠程服務(wù)N/A攻擊者識別出互聯(lián)網(wǎng)上暴露的AzureBlob存儲服務(wù)。T1587開發(fā)功能.004利用工具攻擊者可利用或開發(fā)自動化工具，對暴露的Blob容器進行批量探測與下載。T1602云存儲中的數(shù)據(jù)N/A攻擊者訪問并獲取AzureBlob容器中存儲的簡歷等敏感數(shù)據(jù)。T1567通過Web服務(wù)外泄N/A攻擊者可能通過公開的BlobHTTP(S)接口直接下載或轉(zhuǎn)存敏感數(shù)T1610部署容器N/A在部署AzureBlob容器時配置錯誤，將訪問權(quán)限設(shè)置為公開，導致敏感數(shù)據(jù)暴露。T1593搜索開放網(wǎng)站/域.002搜索引擎攻擊者可能通過網(wǎng)絡(luò)空間搜索引擎（如Shodan、FOFA）發(fā)現(xiàn)暴露的AzureBlob存儲容器。/security/livecareer-resum全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技Windows產(chǎn)品密鑰?2025綠盟科技者預(yù)設(shè)的游戲框架內(nèi)，ChatGPT將這些請求判斷為游戲全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技擊者利用了AI模型對關(guān)鍵詞過濾的依賴，通過社會工程學技巧繞過了安全措技術(shù)子技術(shù)利用方式T1598針對信息的網(wǎng)絡(luò)釣魚N/A攻擊者可能通過提示詞注入引誘大模型輸出敏感信息T1587開發(fā)功能.004利用工具攻擊者開發(fā)針對敏感信息服務(wù)進行利用的工具，以便拿到windows序列號后，進行合法密鑰打包到盜版激活工具中，供他人非法使用，并將這些序列號發(fā)送至云存儲中進行存儲T1530云存儲中的數(shù)據(jù)N/A攻擊者訪問云存儲服務(wù)中的windows序列號，以便利用工具去牟利T1598針對信息的網(wǎng)絡(luò)釣魚N/A攻擊者可能通過提示詞注入引誘大模型輸出敏感信息T1587開發(fā)功能.004利用工具攻擊者開發(fā)針對敏感信息服務(wù)進行利用的工具，以便拿到windows序列號后，進行合法密鑰打包到盜版激活工具中，供他人非法使用，并將這些序列號發(fā)送至云存儲中進行存儲T1530云存儲中的數(shù)據(jù)N/A攻擊者訪問云存儲服務(wù)中的windows序列號，以便利用工具去牟利/s/RgPlKa全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技致Laravel應(yīng)用面臨遠程代碼執(zhí)行風險配置不當?shù)腖aravel應(yīng)用程序，從而竊取.env文件中的APP_KEY，并針對CVE-2018-超過600個Laravel應(yīng)用程序因APP_KEY用程序的.env文件中，主要用于加密和解密數(shù)據(jù)，并創(chuàng)建唯一的身份驗證令牌。如果該全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技Laravel框架NDay漏洞利用：L應(yīng)用程序的decrypt()函數(shù)處理這個惡意數(shù)據(jù)時，自動的反序列化過程會觸發(fā)服務(wù)器上的任意），技術(shù)子技術(shù)利用方式T1595主動掃描.002漏洞掃描攻擊者通過Laravel配置錯誤對暴露的.ENV文件進行獲取，該文件中包含APP_KEY以及系統(tǒng)配置信息T1587開發(fā)功能.001惡意軟件攻擊者開發(fā)惡意代碼，主要用于將泄露的APP_KEY存放至云存儲或網(wǎng)盤中T1530云存儲中的數(shù)據(jù)N/A攻擊者收藏并訪問云存儲服務(wù)中的LaravelAPP_KEYT1041通過C2通道外泄N/A攻擊者通過在現(xiàn)有命令和控制通道中竊取數(shù)據(jù)。竊取的數(shù)據(jù)利用與命令和控制通信相同的協(xié)議在正常通信通道中進行編碼。本示例主要用于利用CVE-2018-15133漏洞從而繞過身份驗證進行遠程代碼執(zhí)行https://hackernews.c/blog/news/2025/04/hertz-data-breach-?2025綠盟科技注入”或“信任濫用”兩種方式，攻擊者可以誘騙或繞過安全機制，在用戶不知情的情況下，讓后迅速發(fā)布了修復(fù)補丁。該漏洞的影響范圍為所有使用低于1.3.CVE-2025-54135(Cur?2025綠盟科技原理與攻擊路徑:攻擊者在一個公開的文檔（如GitHub的README文件、共享文檔）CVE-2025-54136(MCPoison):原理與攻擊路徑:攻擊者在共享代碼庫（如Github害，便點擊“批準”。攻擊者提交新的代碼，將那個已被批準的mcp.json文件中的echo"hello"命令靜默地修改為惡意命令。當受害者下一次同步代碼并打開Cursor時，以上內(nèi)容我們可以看出導致此次事件的根本原因在于CursorIDE對mcp.json配置文件的管理和執(zhí)行機制存在嚴重的安全設(shè)計缺陷。CursorIDE過度信任了來自AI和項目文件的內(nèi)容，而沒有對關(guān)鍵的安全步驟進行充分驗證。全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技技術(shù)子技術(shù)利用方式T1195網(wǎng)絡(luò)釣魚.001攻擊者通過向公共代碼庫中注入惡意配置文件來感染下游開發(fā)者。T1059有效賬戶N/A攻擊者可在用戶的終端上執(zhí)行任意命令和腳本。T1137惡意宏N/Amcp.json在Cursor（應(yīng)用程序）啟動時自動加載并執(zhí)行，實現(xiàn)了持久化后門(尤其在CVE-2025-54136中)T1202間接命令執(zhí)行N/ACursorIDE作為代理間接執(zhí)行了攻擊者預(yù)設(shè)的命令。T1592受害者信息收集N/A成功執(zhí)行代碼后，攻擊者可以運行命令來收集關(guān)于受害者主機和網(wǎng)絡(luò)環(huán)境https://mp.weixin.qq.c/prompt-injection-to-code-execution-cursor-codecritical-mcp-vulnerabilities-cve-2025-54135-cve-20全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技事件時間：2025年8月登錄憑證、存儲在云服務(wù)中的機密商業(yè)文件或個人數(shù)據(jù)，攻擊的潛在影響范圍是所有啟用了全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技通過連接器這一功能雖然方便用戶可以免登錄第三方應(yīng)用，但由于三方應(yīng)用中可能也會該事件的攻擊路徑核心并非是受害者自己創(chuàng)建惡意文件，而是處理了由攻擊者分享來的惡意文件。受害者的ChatGPT連接了其私人全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技當惡意指令竊取到敏感數(shù)據(jù)，如API密鑰后，惡意指令不會嘗試生成一個指向），全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技技術(shù)子技術(shù)利用方式T1566釣魚攻擊N/A攻擊者通過云服務(wù)，如GoogleDrive，將一個包含惡意指令的“有毒”文檔分享給受害者T1059命令和腳本解釋器N/AChatGPT本身扮演了“解釋器”的角色，而隱藏在文檔中的惡意提示則充當了“腳本”。當ChatGPT處理該文檔時，并非在執(zhí)行傳統(tǒng)的Shell命令或PowerShell腳本，而是在解釋并執(zhí)行惡意提示所描述的指令T1204用戶執(zhí)行N/A受害者要求ChatGPT去處理被分享的惡意文件T1027混淆文件或信息N/A攻擊者通過將惡意指令設(shè)置為1像素的白色字體，將其隱藏在文檔的白色背景中，使得普通用戶無法直接察覺T1567通過Web服務(wù)進行數(shù)據(jù)滲漏N/A攻擊者為了繞過OpenAI可能存在的惡意URL過濾器，沒有直接將數(shù)據(jù)發(fā)送到攻擊者控制的服務(wù)器。而是巧妙地利用了ChatGPT的Markdown圖片渲染功能，將竊取的數(shù)據(jù)編碼后作為參數(shù)，附加到一個合法的、受信任的Web服務(wù)，如AzureBlobStorage或其他圖片渲染服務(wù)的URL中T1083通過Web服務(wù)進行數(shù)據(jù)滲漏N/A惡意指令被執(zhí)行后，會命令ChatGPT在受害者連接的云存儲，如GoogleDrive中進行搜索，尋找其他文件。T1552文件中的憑證.001搜索包含特定關(guān)鍵詞，如APIkey,password,secret的文件T1530云存儲對象的數(shù)據(jù)N/A一旦發(fā)現(xiàn)包含敏感信息的目標文件，惡意指令會驅(qū)使ChatGPT讀取這些文件內(nèi)容，并提取出具體的敏感數(shù)據(jù)T1567滲漏到云存儲.002竊取到的數(shù)據(jù)被編碼進一個URL參數(shù)中，并通過ChatGPT對一個外部云服務(wù)的合法API調(diào)用被發(fā)送出去。攻擊者隨后可以從該服務(wù)的訪問日志中提取出這些數(shù)據(jù)，完成最終的滲漏/en/articles/9309188-add-files-from-connected-/tamirishaysh/status/195https://labs.zenity.io/p/agentflayer-chatgpt-connectors-0cl全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技事件六：ChatGPT對話內(nèi)容被公開，超過4500個由用戶創(chuàng)建的“分享鏈接”被公開索事件時間：2025年8月泄露規(guī)模：超過4500個由用戶創(chuàng)建的ChatGPT“分享鏈接”被公開索引，泄露的信息種類2025年7月下旬：媒體發(fā)現(xiàn)，通過在谷歌使用特定的GoogleHacking指令,例如天可被發(fā)現(xiàn)”的功能。公司表示正在與谷歌等搜索引擎合作，從搜索結(jié)果中移除已經(jīng)被索引的全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技首先技術(shù)層面的根因最核心的技術(shù)缺陷是被設(shè)置為“可發(fā)現(xiàn)”的分享頁面缺少“noindex”元鏈接的人都可以訪問其內(nèi)容，無法限制訪問技術(shù)子技術(shù)利用方式T1593搜索開放網(wǎng)站/域.002搜索引擎由于OpenAI的設(shè)計缺陷，大量包含敏感信息的ChatGPT對話變成了“公開可訪問信息”。攻擊者無需攻破任何系統(tǒng)，只需利用搜索引擎這類公開工具，就能輕易地發(fā)現(xiàn)和收集這些寶貴的情報，用于后續(xù)的釣魚攻擊、身份盜竊或商業(yè)間諜活動。全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技致數(shù)千個敏感憑證泄露AWS等162種不同類型的憑證，其中MongoDB憑證泄），其余散布于index.js、pert全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技此次事件的根源在于代碼倉庫的歷史與敏感信息未得到有效治理。開發(fā)者在日常開發(fā)中全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技現(xiàn)有檢測工具多聚焦于活躍分支和新增提交，而對歷史提交、被覆蓋的分支或danglingcommits缺乏覆蓋。這導致組織往往誤以為已完成清理，實際卻仍留有大量未被發(fā)現(xiàn)的敏感技術(shù)子技術(shù)利用方式T1593搜索開放網(wǎng)站/域.003公開代碼倉庫攻擊者利用GitHub的公開倉庫搜索功能，定位danglingcommits中可能包含敏感信息的提交。T1213從信息庫中收集數(shù)據(jù).003代碼倉庫攻擊者從GitHub歷史提交（包括已被force-push覆蓋的提交對象）中提取憑證、密鑰等敏感數(shù)據(jù)。T1530從云存儲中收集數(shù)據(jù)N/AGitHub作為云端代碼存儲平臺，攻擊者直接從其底層對象存儲（blob數(shù)據(jù)）中收集敏感信息。T1587開發(fā)功能.004工具攻擊者或研究人員利用AI驅(qū)動或自動化掃描工具批量搜索GitHub歷史提交，提高敏感信息的發(fā)現(xiàn)效率。T1593搜索開放網(wǎng)站/域.003公開代碼倉庫攻擊者利用GitHub的公開倉庫搜索功能，定位danglingcommits中可能包含敏感信息的提交。/security/hacker-scans-github-uncovers-sen/blog/guest-post-how-i-scanned-all-of-github-/@sharon.brizinov/how-i-made-64k-from-delet全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技事件八：國外某高校使用的谷歌云盤因開啟文件公開訪問權(quán)限導致大規(guī)模學生個人信息（1）敏感信息暴露：如果誤將包含個人隱私、公司機密、財務(wù)數(shù)據(jù)或密碼的文件公開，全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技技術(shù)子技術(shù)利用方式T1593搜索開放網(wǎng)站N/A攻擊者主動搜索可公開訪問的GoogleDrive鏈接，作為攻擊的起點。T1530云存儲中獲取數(shù)據(jù)N/A攻擊者直接從配置不當?shù)腉oogleDrive下載文件T1567通過Web服務(wù)滲出.002攻擊者將竊取的數(shù)據(jù)傳輸?shù)剿麄兛刂葡碌牧硪粋€云存儲服務(wù)中。攻擊者利用GoogleDrive等服務(wù)的合法流量作掩護，將數(shù)據(jù)轉(zhuǎn)移出去，使其難以被發(fā)現(xiàn)。T1657財務(wù)盜竊N/A泄露的數(shù)據(jù)被用于金融欺詐或?qū)е鹿颈槐O(jiān)管罰款全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技家政府機構(gòu)和私營公司49704及CVE-2025-49706。但安全研究人員發(fā)現(xiàn)，補丁并不完全，部分變種仍可繞過。MachineKey，部署勒索軟件W化遠程代碼執(zhí)行的組合，使攻擊者能夠在無需合法憑證的情況全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技數(shù)據(jù)竊取和勒索軟件植入創(chuàng)造條件。盡管微軟在補丁中修復(fù)了相關(guān)問題，但后續(xù)出現(xiàn)的變體（CVE-2025-53770與CVE-2025-53軟件和電信行業(yè)分別吸收了24%和9%的攻擊。全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技5.破壞與獲利階段：攻擊者可能進一步投遞勒索軟件，加密關(guān)鍵數(shù)據(jù)或中斷服務(wù)，借此全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技技術(shù)子技術(shù)利用方式T1190利用面向公網(wǎng)的應(yīng)用程序漏洞N/A攻擊者利用SharePoint0day漏洞（CVE-2025-53770/53771，ToolShell鏈變體）在未授權(quán)情況下執(zhí)行遠程代碼。T1059命令和腳本解釋器.001PowerShell攻擊者通過漏洞在SharePoint服務(wù)器上執(zhí)行遠程代碼，運行PowerShell腳本實現(xiàn)控制。T1078有效賬戶.001本地賬戶攻擊者利用漏洞繞過身份驗證，使用獲取的本地或服務(wù)賬戶保持訪問權(quán)T1547啟動或登錄自動執(zhí)行.001注冊表運行鍵/啟動文件夾攻擊者在服務(wù)器上植入后門，確保系統(tǒng)重啟后仍能繼續(xù)訪問。T1210利用遠程服務(wù)N/A攻擊者利用SharePoint服務(wù)漏洞提升訪問權(quán)限，實現(xiàn)遠程控制。T1486數(shù)據(jù)加密以造成影響N/A攻擊者可能加密或破壞SharePoint數(shù)據(jù)，造成業(yè)務(wù)中斷或信息泄露。/security/sharepoint-zero-day-exploit全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技事件十：配置不當?shù)腅lasticsearch實例導事件時間：2025年6月全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技此次事件的根本問題在于廣告日志系統(tǒng)缺乏必要的安全管控，導致敏感數(shù)據(jù)直接暴露在雖然日志數(shù)據(jù)并非直接包含用戶密碼等隱私，但全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技技術(shù)子技術(shù)利用方式T1526-數(shù)據(jù)存儲未加防護N/A某第三方廣告服務(wù)商服務(wù)器上的Elasticsearch實例未啟用訪問控制，攻擊者能夠未經(jīng)授權(quán)訪問存儲日志端點。T1530-從云存儲收集數(shù)據(jù)N/A攻擊者可直接利用Elasticsearch接口下載整個日志庫，包括3.24億條日志條目（729GB）。T1593-搜索開放網(wǎng)站/域N/A暴露的Elasticsearch實例可能通過Shodan等網(wǎng)絡(luò)空間搜索引擎被發(fā)現(xiàn)，進而被利用進行數(shù)據(jù)泄露。T1589-電信基礎(chǔ)設(shè)施操縱N/A（特定場景）泄露日志中包含會話ID、用戶ID等關(guān)鍵字段，可被濫用用于劫持會話、進行用戶行為追蹤，進而操縱用戶設(shè)備或訪問。/security/deutsche-telekom-magen全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）安全建議?2025綠盟科技-全球云上數(shù)據(jù)泄露風險分析簡報（第七期）全球云上數(shù)據(jù)泄露風險分析簡報（第七期）?2025綠盟科技2.1針對雜項錯誤類的安全建議1.務(wù)必啟用內(nèi)置的Elasticsearch安全功能或使的訪問控制