BTC $63,101.10 -2.04%
ETH $1,818.55 -3.12%
BNB $561.00 -3.05%
XRP $1.08 -2.60%
SOL $74.20 -2.69%
TRX $0.3226 -0.13%
DOGE $0.0717 -2.25%
ADA $0.1618 -0.92%
BCH $217.24 -2.58%
LINK $8.09 -3.93%
HYPE $60.01 -8.35%
AAVE $90.67 -2.24%
SUI $0.7296 -2.66%
XLM $0.1850 -2.44%
ZEC $537.27 -2.88%
BTC $63,101.10 -2.04%
ETH $1,818.55 -3.12%
BNB $561.00 -3.05%
XRP $1.08 -2.60%
SOL $74.20 -2.69%
TRX $0.3226 -0.13%
DOGE $0.0717 -2.25%
ADA $0.1618 -0.92%
BCH $217.24 -2.58%
LINK $8.09 -3.93%
HYPE $60.01 -8.35%
AAVE $90.67 -2.24%
SUI $0.7296 -2.66%
XLM $0.1850 -2.44%
ZEC $537.27 -2.88%

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

Summary: 火必似乎洩露了 2017 年到 2021 年間處理的每筆 OTC 交易資訊,高達 2 TB
吳說區塊鏈
2023-07-01 18:04:58
收藏
火必似乎洩露了 2017 年到 2021 年間處理的每筆 OTC 交易資訊,高達 2 TB

作者:Aaron Phillips

編譯:吳說區塊鏈 (火幣回應無實際洩露發生,只白帽下載)

近期有用戶收到白帽郵件,內容稱:

嗨,我叫亞倫。我寫郵件是想告訴您,您的一些個人信息已在互聯網上公開。我報告了該問題並確保它已修復。您的信息不再在線。(吳說編輯:無法確認這些信息是否已被其他人下載甚至買賣)

加密貨幣交易所火幣在最近的一次數據洩露中意外洩露了"鯨魚報告"。這些報告包含您註冊時向火幣提供的姓名、電話號碼、地址和電子郵件地址。他們還有錢包餘額和有關您資產的信息。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

原文如下,文章內容經慢霧確認為"白帽負責任正常披露":

https://phillips.technology/blog/huobi-crypto-aws/

phillips.technology是白帽黑客、公民記者和消費者倡導者Aaron Phillips的個人網站。Aaron Phillips 是一位擁有4年網絡安全領域經驗和20年IT經驗的美國專業人士。他的工作主要是保護消費者免受數據洩露和安全漏洞的影響,他的工作成果已經在世界上一些最受歡迎的科技新聞網站上被報導。他的專注領域包括移動和網絡應用安全、雲安全和網絡滲透測試。

Huobi 回應:

事件發生於2021年6月22日日本站測試環境S3桶相關人員不規範操作導致,相關用戶信息於2022年10月8日已經完全隔離。本次事件由白帽團隊發現後,火幣安全團隊2023年6月21日(10天前)已第一時間進行處理,立即關閉相關文件訪問權限,當前漏洞已修復,所有相關用戶信息已經刪除。感謝白帽團隊對於火幣安全做出的貢獻。

全文如下:

火幣悄然修復了一個數據洩露事件,該洩露事件可能導致該公司的雲存儲被訪問。火幣無意中共享了一組憑證,授予其所有 Amazon Web Services S3 存儲桶寫入權限。

該公司使用 S3 存儲桶來托管其 CDN 和網站。任何人都可以使用這些憑證來修改 huobi.com 和 hbfile.net 域等上的內容。火幣憑證洩露還導致用戶數據和內部文件曝光。

利用火幣的錯誤的攻擊者將有機會進行歷史上最大的加密貨幣盜竊。

如果火幣沒有採取行動,這一漏洞可能會被用來竊取用戶賬戶和資產。該公司刪除了受感染的帳戶,其用戶不再面臨風險。

在我檢查開放的 Amazon Web Services (AWS) S3 存儲桶時,我發現了一個包含 AWS 憑證的敏感文件。經過一番研究,我發現憑證是真實的,並且該帳戶屬於火幣。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

儘管火幣刪除了洩露事件中曝光的帳戶,但該公司尚未刪除該文件。這些憑證仍然可以在線供任何人下載:

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

根據亞馬遜分配的元數據,火幣於 2021 年 6 月意外發布了該文件。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

這意味著該公司在大約兩年的時間裡一直在共享生產 AWS 憑證。

下載憑證的每個人都可以完全訪問火幣的雲存儲桶。我能夠上傳和刪除火幣所有 S3 存儲桶中的文件。這是特別危險的,因為火幣大量使用了存儲桶。

這些憑證可能被用來修改和控制火幣的許多域名。攻擊者可能會利用火幣的基礎設施竊取用戶帳戶和資產、傳播惡意軟件並感染移動設備。

沒有跡象表明有人利用這一漏洞對火幣進行攻擊。

對關鍵 S3 存儲桶的寫訪問權限

為了評估這次違規行為的影響,我首先列出了所有可以列出的內容。我發現總共有 315 個,其中許多是私人的。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

其中一些存儲桶與火幣運營的網站和 CDN 共享名稱。例如,是一個 CDN,托管許多火幣網站和應用程序使用的內容。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

接下來,我嘗試寫入存儲桶。我能夠在所有 315 個存儲桶中寫入和刪除文件。在下面的屏幕截圖中,我將一個文件上傳到火幣用來存儲和分發 Android 應用程序的 CDN。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

惡意用戶可能上傳了火幣 Android 應用程序的修改版本。

亞馬遜使用 IAM 角色來控制對其雲服務的訪問。對於火幣這樣的大公司來說,創建單一角色來管理其雲存儲的情況並不罕見。但這種方法是一種糟糕的方法。

在多個團隊中共享一個角色可以為攻擊者提供大量訪問權限。在這種情況下,我可以閱讀機密報告、下載數據庫備份以及修改 CDN 和網站上的內容。我完全掌控了火幣業務幾乎各個方面的數據。

可以說,這次違規行為最危險的方面是它授予了火幣 CDN 和網站的寫入權限。公司花費大量資金進行測試,以確保黑帽黑客無法獲得對該基礎設施的寫入訪問權限。令人沮喪的是,火幣竟然會洩露同樣的訪問權限。

一旦攻擊者可以寫入 CDN,就很容易找到注入惡意腳本的機會。一旦 CDN 受到損害,鏈接到它的所有網站也可能受到損害。以火幣的登錄門戶為例。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

火幣的美國登錄頁面從至少五個不同的 CDN 加載資源。讓我們重點關注上面紅色的部分。這五個中的一個顯然是一個存儲桶,huobicfg.s3.amazonaws.com,因為 URL 包含字符串"s3.amazonaws.com"。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

但其他四個也對應於受損的存儲桶。我能夠讓 Cloudfront 為無效請求生成詳細的響應標頭。標頭顯示 hbfile.net 域的部分內容由 Cloudfront 通過 AmazonS3 提供服務。

在這種情況下,Cloudfront充當中間人,將 hbfile.com 請求重定向到 S3 存儲桶。我在受損存儲桶列表中找到了五個 CDN 中的四個。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

我可以在所有 CDN 上寫入和刪除文件。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

一般來說,消費者很難檢測到受損的 CDN 和網站。從用戶的角度來看,他們正在訪問一個可信的網站。用戶無法判斷 CDN 上存儲的文件是否已被更改。

對於反惡意軟件,某些惡意腳本可能會被允許運行,因為它們是從正確的源提供的。對於黑帽黑客來說,破壞 CDN 是將代碼或惡意軟件注入網站的最有效方法之一。

火幣讓惡意用戶很容易接管他們的 CDN 和網站。據我所知,該公司運營的每個登錄頁面都會受到此漏洞的影響。

兩年來,每個登錄火幣網站或應用程序的用戶都可能面臨失去帳戶的風險。

此次違規行為還涉及隱私問題。使用火幣洩露的憑證,我能夠訪問包含用戶信息的客戶關係管理(CRM)報告。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

我發現的報告中有"加密鯨魚"的聯繫信息和帳戶餘額。鯨魚是擁有大量加密貨幣的富裕用戶,火幣顯然有興趣與他們建立關係。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

該公司似乎根據這些用戶的能力級別對他們進行排序。擁有更大影響市場能力的用戶會獲得更高的排名。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

火幣總共洩露了 4,960 名用戶的聯繫方式和帳戶信息。

火幣洩露曝光的另一組數據。是場外交易 (OTC) 交易的數據庫。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

解壓後,數據庫備份超過 2TB,似乎包含了火幣自 2017 年以來處理的每筆 OTC 交易。這可能是許多交易者關心的問題,因為 OTC 交易的好處之一就是增加隱私。

下面重點介紹了一些場外交易。自 2017 年以來,任何在火幣進行場外交易的人都曾遭遇過此類信息洩露。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

在上面的屏幕截圖中,可以看到用戶帳戶、交易詳細信息和交易者的 IP 地址。完整的數據庫包含數千萬個這樣的交易。

數據庫中還有一些註釋,可以讓我們了解火幣如何在幕後管理其場外交易平台。

文檔詳細介紹了火幣的基礎設施

火幣洩露了有關自己的信息。附件顯示了其生產基礎設施的內部運作情況。軟件堆棧、雲服務、內部伺服器和其他敏感細節都已列出。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

這些文件與火幣洩露的其他數據一樣,現在都是安全的。

受火幣違規影響的最獨特的 CDN 之一是 Utopo 區塊鏈 NFT。惡意用戶可能會更改 CDN 上的 JSON 文件以編輯 NFT。

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

NFT 是區塊鏈上 JSON 文件的鏈接。當 JSON 文件被修改時,它們會改變 NFT 的特徵。在這種情況下,所有 NFT 都可以編輯,儘管我沒有做任何更改。

圍繞 NFT 的安全風險仍在探索中。在某些情況下,可能會使用修改後的 NFT 將惡意代碼注入瀏覽器、應用程序或遊戲中。沒有任何跡象表明這裡發生過。

時間線

這是事件的完整時間表:

白帽披露:火幣 2021 年曾大範圍洩露 OTC 交易資訊、大戶資訊、客戶資訊、內部技術架構等

最終,火幣撤銷了這些憑證並保護了他們的雲存儲。

火幣用戶僥倖逃過一劫。

不幸的是,在這種情況下,我不能斷定火幣已經很好地完成了他們的工作。洩露自己的亞馬遜憑證已經夠糟糕的了,但花了幾個月的時間才得到回應,即便如此,火幣還是選擇將憑證留在網上。

warnning 風險提示
app_icon
ChainCatcher 與創新者共建Web3世界