Pengungkapan topi putih: Huobi telah membocorkan informasi transaksi OTC, informasi akun besar, informasi pelanggan, struktur teknis internal, dll. dalam skala besar pada tahun 2021

Baru-baru ini, seorang pengguna menerima email topi putih, yang menyatakan:
Hai, nama saya Harun. Saya menulis ini untuk memberi tahu Anda bahwa beberapa informasi pribadi Anda telah dipublikasikan di Internet. Saya melaporkan masalah tersebut dan memastikan masalah telah diperbaiki. Informasi Anda tidak lagi online.
Pertukaran Cryptocurrency Huobi secara tidak sengaja membocorkan "laporan ikan paus" dalam pelanggaran data baru-baru ini. Laporan ini berisi nama, nomor telepon, alamat, dan alamat email yang Anda berikan kepada Huobi saat mendaftar. Mereka juga memiliki saldo dompet dan informasi tentang aset Anda.
phillips.technology adalah situs pribadi peretas topi putih, jurnalis warga, dan advokat konsumen Aaron Phillips. Aaron Phillips adalah seorang profesional Amerika dengan pengalaman 4 tahun di bidang keamanan siber dan 20 tahun pengalaman TI. Karyanya berfokus pada perlindungan konsumen dari pelanggaran data dan pelanggaran keamanan, dan karyanya telah ditampilkan di beberapa situs berita teknologi paling populer di dunia. Area fokusnya meliputi keamanan aplikasi seluler dan web, keamanan cloud, dan pengujian penetrasi jaringan.
Huobi menjawab:
Insiden tersebut terjadi pada 22 Juni 2021 karena pengoperasian bucket S3 yang tidak teratur oleh personel terkait di lingkungan pengujian situs Jepang. Informasi pengguna yang relevan diisolasi sepenuhnya pada 8 Oktober 2022. Setelah kejadian ini ditemukan oleh tim topi putih, tim keamanan Huobi menanganinya sesegera mungkin pada tanggal 21 Juni 2023 (10 hari yang lalu) dan segera menutup akses ke file terkait informasi pengguna telah dihapus. Terima kasih kepada tim topi putih atas kontribusinya terhadap keamanan Huobi.
Teks lengkapnya adalah sebagai berikut:
Huobi diam-diam telah memperbaiki pelanggaran data yang memungkinkan penyimpanan cloud perusahaan diakses. Huobi secara tidak sengaja membagikan serangkaian kredensial yang memberikan akses tulis ke semua bucket Amazon Web Services S3 miliknya.
Perusahaan menggunakan bucket S3 untuk menghosting CDN dan situs webnya. Siapa pun dapat menggunakan kredensial ini untuk memodifikasi konten antara lain di domain huobi.com dan hbfile.net. Kebocoran kredensial Huobi juga menyebabkan terungkapnya data pengguna dan dokumen internal.
Penyerang yang mengeksploitasi bug Huobi akan berpeluang melakukan pencurian mata uang kripto terbesar dalam sejarah.
Jika Huobi tidak mengambil tindakan, kerentanan ini dapat dieksploitasi untuk mencuri akun dan aset pengguna. Perusahaan menghapus akun yang disusupi dan penggunanya tidak lagi menghadapi risiko.
Ketika saya memeriksa bucket S3 Amazon Web Services (AWS) yang terbuka, saya menemukan file sensitif yang berisi kredensial AWS. Setelah melakukan beberapa penelitian, saya menemukan bahwa kredensialnya asli dan akun tersebut milik Huobi.
Meskipun Huobi menghapus akun yang terkena pelanggaran, perusahaan belum menghapus file tersebut. Kredensialnya masih tersedia online untuk diunduh siapa saja:
Huobi secara tidak sengaja merilis dokumen tersebut pada Juni 2021, menurut metadata yang didistribusikan oleh Amazon.
Ini berarti perusahaan telah membagikan kredensial AWS produksi selama sekitar dua tahun.
Setiap orang yang mengunduh kredensial memiliki akses penuh ke keranjang penyimpanan cloud Huobi. Saya dapat mengunggah dan menghapus file di semua bucket S3 Huobi. Hal ini sangat berbahaya karena Huobi banyak menggunakan ember.
Kredensial ini dapat digunakan untuk mengubah dan mengontrol banyak domain Huobi. Penyerang dapat mengeksploitasi infrastruktur Huobi untuk mencuri akun dan aset pengguna, menyebarkan malware, dan menginfeksi perangkat seluler.
Tidak ada indikasi bahwa ada orang yang mengeksploitasi kerentanan ini untuk menyerang Huobi.
Akses tulis ke bucket S3 penting
Untuk menilai dampak pelanggaran ini, pertama-tama saya membuat daftar semua yang saya bisa. Saya menemukan totalnya ada 315, banyak di antaranya milik pribadi.
Beberapa dari keranjang ini memiliki nama yang sama dengan situs web dan CDN yang dioperasikan oleh Huobi. Misalnya, CDN yang menampung konten yang digunakan oleh banyak situs web dan aplikasi Huobi.
Selanjutnya, saya mencoba menulis ke ember. Saya dapat menulis dan menghapus file di 315 ember. Pada tangkapan layar di bawah, saya mengunggah file ke CDN yang digunakan oleh Huobi untuk menyimpan dan mendistribusikan aplikasi Android.
Pengguna jahat mungkin telah mengunggah versi aplikasi Android Huobi yang dimodifikasi.
Amazon menggunakan peran IAM untuk mengontrol akses ke layanan cloud-nya. Bukan hal yang aneh bagi perusahaan besar seperti Huobi untuk membuat satu peran untuk mengelola penyimpanan cloud mereka. Namun pendekatan ini buruk.
Berbagi peran di beberapa tim dapat memberikan penyerang akses yang signifikan. Dalam hal ini, saya dapat membaca laporan rahasia, mengunduh cadangan basis data, dan mengubah konten di CDN dan situs web. Saya memiliki kendali penuh atas data di hampir setiap aspek bisnis Huobi.
Bisa dibilang, aspek paling berbahaya dari pelanggaran ini adalah akses tulis yang diberikan ke CDN dan situs web Huobi. Perusahaan menghabiskan banyak uang untuk pengujian guna memastikan bahwa peretas topi hitam tidak dapat memperoleh akses tulis ke infrastruktur. Sangat mengecewakan karena Huobi membocorkan akses yang sama.
Begitu penyerang dapat menulis ke CDN, mudah untuk menemukan peluang untuk memasukkan skrip berbahaya. Setelah CDN disusupi, semua situs web yang terhubung dengannya juga dapat disusupi. Ambil portal masuk Huobi sebagai contoh.
Halaman login Huobi di AS memuat sumber daya dari setidaknya lima CDN berbeda. Mari kita fokus pada bagian merah di atas. Salah satu dari lima jelas merupakan ember, huobicfg.s3.amazonaws, karena URL berisi string "s3.amazonaws".
Namun empat lainnya juga sesuai dengan kelompok yang dikompromikan. Saya bisa membuat Cloudfront menghasilkan header respons verbose untuk permintaan yang tidak valid. Header menunjukkan bahwa bagian dari domain hbfile.net dilayani oleh Cloudfront melalui AmazonS3.
Dalam hal ini, Cloudfront bertindak sebagai perantara, mengalihkan permintaan hbfile.com ke bucket S3. Saya menemukan empat dari lima CDN dalam daftar bucket yang disusupi.
Saya dapat menulis dan menghapus file di semua CDN.
Umumnya, CDN dan situs web yang disusupi sulit dideteksi oleh konsumen. Dari sudut pandang pengguna, mereka mengunjungi situs web yang dapat dipercaya. Pengguna tidak dapat mengetahui apakah file yang disimpan di CDN telah diubah.
Dengan perangkat lunak anti-malware, skrip berbahaya tertentu mungkin diizinkan berjalan karena disajikan dari sumber yang benar. Bagi peretas topi hitam, menyusupi CDN adalah salah satu cara paling efektif untuk memasukkan kode atau malware ke dalam situs web.
Huobi memudahkan pengguna jahat untuk mengambil alih CDN dan situs web mereka. Sejauh yang saya tahu, setiap halaman login yang dioperasikan oleh perusahaan dipengaruhi oleh kerentanan ini.
Selama dua tahun, setiap pengguna yang masuk ke situs web atau aplikasi Huobi berisiko kehilangan akunnya.
Pelanggaran ini juga menimbulkan masalah privasi. Dengan menggunakan kredensial Huobi yang bocor, saya dapat mengakses laporan manajemen hubungan pelanggan (CRM) yang berisi informasi pengguna.
Laporan yang saya temukan berisi informasi kontak dan saldo akun untuk “paus kripto”. Paus adalah pengguna kaya dengan mata uang kripto dalam jumlah besar, dan Huobi jelas tertarik untuk membangun hubungan dengan mereka.
Perusahaan tampaknya memberi peringkat pada pengguna ini berdasarkan tingkat kemampuan mereka. Pengguna dengan pengaruh pasar yang lebih besar akan mendapat peringkat lebih tinggi.
Secara total, Huobi membocorkan informasi kontak dan informasi akun 4.960 pengguna.
Kumpulan data lain yang diungkap oleh kebocoran Huobi. Merupakan database transaksi over-the-counter (OTC).
Saat dibuka ritsletingnya, cadangan basis data melebihi 2 TB dan tampaknya berisi setiap transaksi OTC yang diproses Huobi sejak tahun 2017. Hal ini mungkin menjadi kekhawatiran bagi banyak pedagang, karena salah satu manfaat perdagangan OTC adalah peningkatan privasi.
Beberapa perdagangan OTC disorot di bawah ini. Siapa pun yang melakukan perdagangan OTC di Huobi telah mengalami kebocoran informasi seperti itu sejak tahun 2017.
Pada gambar di atas, Anda dapat melihat akun pengguna, detail transaksi, dan alamat IP trader. Basis data lengkap berisi puluhan juta transaksi semacam itu.
Ada juga catatan di database yang memberi kita beberapa wawasan tentang bagaimana Huobi mengelola platform OTC-nya di balik layar.
Dokumen merinci infrastruktur Huobi
Huobi membocorkan informasi tentang dirinya. Lampiran menunjukkan cara kerja infrastruktur produksinya. Tumpukan perangkat lunak, layanan cloud, server lokal, dan detail sensitif lainnya dicantumkan.
File-file ini, seperti data lain yang dibocorkan dari Huobi, kini aman.
Salah satu CDN paling unik yang terkena dampak pelanggaran Huobi adalah Utopo Blockchain NFT. Pengguna jahat dapat mengubah file JSON di CDN untuk mengedit NFT.
NFT adalah tautan ke file JSON di blockchain. Ketika file JSON dimodifikasi, mereka mengubah karakteristik NFT. Dalam hal ini, semua NFT dapat diedit, meskipun saya tidak melakukan perubahan apa pun.
Risiko keamanan seputar NFT masih dieksplorasi. Dalam beberapa kasus, NFT yang dimodifikasi dapat digunakan untuk memasukkan kode berbahaya ke dalam browser, aplikasi, atau game. Tidak ada tanda-tanda hal itu terjadi di sini.
linimasa
Berikut kronologi lengkap kejadiannya:
Pada akhirnya, Huobi mencabut kredensial dan mengamankan penyimpanan cloud mereka.
Pengguna Huobi nyaris lolos.
Sayangnya, dalam kasus ini, saya tidak dapat menyimpulkan bahwa Huobi telah melakukan tugasnya dengan baik. Membocorkan kredensial Amazon miliknya sendiri merupakan hal yang buruk, tetapi perlu waktu berbulan-bulan untuk mendapatkan tanggapan, dan bahkan kemudian, Huobi memilih untuk membiarkan kredensial tersebut online.