全球数字财富领导者

白帽披露:火币2021年曾大范围泄露OTC交易信息、大户信息、客户信息、内部技术架构等

2023-07-01 17:08:43
金色财经
金色财经
关注
0
0
获赞
粉丝
喜欢 0 0收藏举报
— 分享 —
摘要:白帽披露:火币2021年曾大范围泄露OTC交易信息、大户信息、客户信息、内部技术架构等

近期有用户收到白帽邮件,内容称:

嗨,我叫亚伦。我写邮件是想告诉您,您的一些个人信息已在互联网上公开。我报告了该问题并确保它已修复。您的信息不再在线。

加密货币交易所火币在最近的一次数据泄露中意外泄露了“鲸鱼报告”。这些报告包含您注册时向火币提供的姓名、电话号码、地址和电子邮件地址。他们还有钱包余额和有关您资产的信息。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F72f0e3bdj00rx3vlr005gc000u001hcm.jpg&thumbnail=660x2147483647&quality=80&type=jpg

phillips.technology是白帽黑客、公民记者和消费者倡导者Aaron Phillips的个人网站。Aaron Phillips 是一位拥有4年网络安全领域经验和20年IT经验的美国专业人士。他的工作主要是保护消费者免受数据泄露和安全漏洞的影响,他的工作成果已经在世界上一些最受欢迎的科技新闻网站上被报道。他的专注领域包括移动和网络应用安全、云安全和网络渗透测试。

Huobi 回应:

事件发生于2021年6月22日日本站测试环境S3桶相关人员不规范操作导致,相关用户信息于2022年10月8日已经完全隔离。本次事件由白帽团队发现后,火币安全团队2023年6月21日(10天前)已第一时间进行处理,立即关闭相关文件访问权限,当前漏洞已修复,所有相关用户信息已经删除。感谢白帽团队对于火币安全做出的贡献。

全文如下:

火币悄然修复了一个数据泄露事件,该泄露事件可能导致该公司的云存储被访问。火币无意中共享了一组凭证,授予其所有 Amazon Web Services S3 存储桶写入权限。

该公司使用 S3 存储桶来托管其 CDN 和网站。任何人都可以使用这些凭据来修改 huobi.com 和 hbfile.net 域等上的内容。火币凭证泄露还导致用户数据和内部文件曝光。

利用火币的错误的攻击者将有机会进行历史上最大的加密货币盗窃。

如果火币没有采取行动,这一漏洞可能会被用来窃取用户账户和资产。该公司删除了受感染的帐户,其用户不再面临风险。

在我检查开放的 Amazon Web Services (AWS) S3 存储桶时,我发现了一个包含 AWS 凭证的敏感文件。经过一番研究,我发现凭证是真实的,并且该帐户属于火币。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2Fdcf76404p00rx3vpk0004c000eq0023m.png&thumbnail=660x2147483647&quality=80&type=jpg

尽管火币删除了泄露事件中暴露的账户,但该公司尚未删除该文件。这些凭证仍然可以在线供任何人下载:

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2Fccc05882j00rx3vpk001uc000u0004pm.jpg&thumbnail=660x2147483647&quality=80&type=jpg

根据亚马逊分配的元数据,火币于 2021 年 6 月意外发布了该文件。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2Fba657803j00rx3vpk001hc000e1005fm.jpg&thumbnail=660x2147483647&quality=80&type=jpg

这意味着该公司在大约两年的时间里一直在共享生产 AWS 凭证。

下载凭证的每个人都可以完全访问火币的云存储桶。我能够上传和删除火币所有 S3 存储桶中的文件。这是特别危险的,因为火币大量使用了存储桶。

这些凭证可能被用来修改和控制火币的许多域名。攻击者可能会利用火币的基础设施窃取用户帐户和资产、传播恶意软件并感染移动设备。

没有迹象表明有人利用这一漏洞对火币进行攻击。

对关键S3存储桶的写访问权限

为了评估这次违规行为的影响,我首先列出了所有可以列出的内容。我发现总共有 315 个,其中许多是私人的。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2Fb17d6985j00rx3vpl008rc000u000bym.jpg&thumbnail=660x2147483647&quality=80&type=jpg

其中一些存储桶与火币运营的网站和 CDN 共享名称。例如,是一个 CDN,托管许多火币网站和应用程序使用的内容。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F0b5d7d1cj00rx3vpk001hc000gn006pm.jpg&thumbnail=660x2147483647&quality=80&type=jpg

接下来,我尝试写入存储桶。我能够在所有 315 个存储桶中写入和删除文件。在下面的屏幕截图中,我将一个文件上传到火币用来存储和分发 Android 应用程序的 CDN。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F9e5927c8j00rx3vpl0038c000os00abm.jpg&thumbnail=660x2147483647&quality=80&type=jpg

恶意用户可能上传了火币 Android 应用程序的修改版本。

Amazon 使用 IAM 角色来控制对其云服务的访问。对于火币这样的大公司来说,创建单一角色来管理其云存储的情况并不罕见。但这种方法是一种糟糕的方法。

在多个团队中共享一个角色可以为攻击者提供大量访问权限。在这种情况下,我可以阅读机密报告、下载数据库备份以及修改 CDN 和网站上的内容。我完全掌控了火币业务几乎各个方面的数据。

可以说,这次违规行为最危险的方面是它授予了火币 CDN 和网站的写入权限。公司花费大量资金进行测试,以确保黑帽黑客无法获得对该基础设施的写入访问权限。令人沮丧的是,火币竟然会泄露同样的访问权限。

一旦攻击者可以写入 CDN,就很容易找到注入恶意脚本的机会。一旦 CDN 受到损害,链接到它的所有网站也可能受到损害。以火币的登录门户为例。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2Fb269e65bj00rx3vpl003oc000u000dgm.jpg&thumbnail=660x2147483647&quality=80&type=jpg

火币的美国登录页面从至少五个不同的 CDN 加载资源。让我们重点关注上面红色的部分。这五个中的一个显然是一个存储桶,huobicfg.s3.amazonaws,因为 URL 包含字符串“s3.amazonaws”。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F5c7b64f0j00rx3vqr002uc000u000b0m.jpg&thumbnail=660x2147483647&quality=80&type=jpg

但其他四个也对应于受损的存储桶。我能够让 Cloudfront 为无效请求生成详细的响应标头。标头显示 hbfile.net 域的部分内容由 Cloudfront 通过 AmazonS3 提供服务。

在这种情况下,Cloudfront 充当中间人,将 hbfile.com 请求重定向到 S3 存储桶。我在受损存储桶列表中找到了五个 CDN 中的四个。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2Fef05b158p00rx3vrx0003c000b4002nm.png&thumbnail=660x2147483647&quality=80&type=jpg

我可以在所有 CDN 上写入和删除文件。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F7833dfa2j00rx3vrx003ec000p40094m.jpg&thumbnail=660x2147483647&quality=80&type=jpg

一般来说,消费者很难检测到受损的 CDN 和网站。从用户的角度来看,他们正在访问一个可信的网站。用户无法判断 CDN 上存储的文件是否已被更改。

对于反恶意软件,某些恶意脚本可能会被允许运行,因为它们是从正确的源提供的。对于黑帽黑客来说,破坏 CDN 是将代码或恶意软件注入网站的最有效方法之一。

火币让恶意用户很容易接管他们的 CDN 和网站。据我所知,该公司运营的每个登录页面都会受到此漏洞的影响。

两年来,每个登录火币网站或应用程序的用户都可能面临失去账户的风险。

此次违规行为还涉及隐私问题。使用火币泄露的凭证,我能够访问包含用户信息的客户关系管理(CRM)报告。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F53e02e03j00rx3vrx003bc000ri008mm.jpg&thumbnail=660x2147483647&quality=80&type=jpg

我发现的报告中有“加密鲸鱼”的联系信息和账户余额。鲸鱼是拥有大量加密货币的富裕用户,火币显然有兴趣与他们建立关系。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F1cfc1bbaj00rx3vrx0014c000iv0047m.jpg&thumbnail=660x2147483647&quality=80&type=jpg

该公司似乎根据这些用户的能力级别对他们进行排序。拥有更大影响市场能力的用户会获得更高的排名。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F6885ae76j00rx3vrx000lc000dp0048m.jpg&thumbnail=660x2147483647&quality=80&type=jpg

火币总共泄露了 4,960名用户的联系方式和账户信息。

火币泄露曝光的另一组数据。是场外交易(OTC)交易的数据库。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F6ae2f0f5j00rx3vry003pc000u000epm.jpg&thumbnail=660x2147483647&quality=80&type=jpg

解压后,数据库备份超过 2TB,似乎包含了火币自 2017 年以来处理的每笔 OTC 交易。这可能是许多交易者关心的问题,因为 OTC 交易的好处之一就是增加隐私。

下面重点介绍了一些场外交易。自 2017 年以来,任何在火币进行场外交易的人都曾遭遇过此类信息泄露。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F66c0bd36j00rx3vti00apc000u000g5m.jpg&thumbnail=660x2147483647&quality=80&type=jpg

在上面的屏幕截图中,可以看到用户帐户、交易详细信息和交易者的 IP 地址。完整的数据库包含数千万个这样的交易。

数据库中还有一些注释,可以让我们了解火币如何在幕后管理其场外交易平台。

文档详细介绍了火币的基础设施

火币泄露了有关自己的信息。附件显示了其生产基础设施的内部运作情况。软件堆栈、云服务、内部服务器和其他敏感细节都已列出。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F24bc8036j00rx3vti001uc000u000kom.jpg&thumbnail=660x2147483647&quality=80&type=jpg

这些文件与火币泄露的其他数据一样,现在都是安全的。

受火币违规影响的最独特的 CDN 之一是 Utopo 区块链 NFT。恶意用户可能会更改 CDN 上的 JSON 文件以编辑 NFT。

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2Ff04edd60j00rx3vth001qc000u0004jm.jpg&thumbnail=660x2147483647&quality=80&type=jpg

NFT 是区块链上 JSON 文件的链接。当 JSON 文件被修改时,它们会改变 NFT 的特征。在这种情况下,所有 NFT 都可以编辑,尽管我没有做任何更改。

围绕 NFT 的安全风险仍在探索中。在某些情况下,可能会使用修改后的 NFT 将恶意代码注入浏览器、应用程序或游戏中。没有任何迹象表明这里发生过。

时间线

这是事件的完整时间表:

?url=http%3A%2F%2Fdingyue.ws.126.net%2F2023%2F0701%2F97af5402j00rx3vub001zc000lz00gpm.jpg&thumbnail=660x2147483647&quality=80&type=jpg

最终,火币撤销了这些凭证并保护了他们的云存储。

火币用户侥幸逃过一劫。

不幸的是,在这种情况下,我不能断定火币已经很好地完成了他们的工作。泄露自己的亚马逊凭证已经够糟糕的了,但花了几个月的时间才得到回应,即便如此,火币还是选择将凭证留在网上。

来源:金色财经

敬告读者:本文为转载发布,不代表本网站赞同其观点和对其真实性负责。FX168财经仅提供信息发布平台,文章或有细微删改。
go