最近、ユーザーは次のようなホワイト ハット電子メールを受け取りました。
こんにちは、私の名前はアーロンです。あなたの個人情報の一部がインターネット上に公開されたことをお知らせするためにこのメールを送信しました。問題を報告し、修正されたことを確認しました。あなたの情報はオンラインではなくなりました。
仮想通貨取引所Huobiは、最近のデータ侵害で誤って「クジラレポート」を漏洩した。これらのレポートには、登録時に Huobi に提供した名前、電話番号、住所、電子メール アドレスが含まれます。ウォレットの残高や資産に関する情報も含まれています。
phillips.technology は、ホワイト ハッカー、市民ジャーナリスト、消費者擁護者であるアーロン フィリップスの個人 Web サイトです。 Aaron Phillips は、サイバーセキュリティ分野で 4 年の経験と 20 年の IT 経験を持つアメリカの専門家です。彼の仕事は消費者をデータ侵害やセキュリティ侵害から守ることに焦点を当てており、彼の作品は世界で最も人気のあるテクノロジー ニュース サイトのいくつかで取り上げられています。彼の重点分野には、モバイルおよび Web アプリケーションのセキュリティ、クラウド セキュリティ、ネットワーク侵入テストが含まれます。
フォビはこう答えた。
このインシデントは 2021 年 6 月 22 日に発生し、日本サイトのテスト環境の S3 バケットにおける関係者による異常な操作により、2022 年 10 月 8 日に該当するユーザー情報が完全に隔離されました。このインシデントがホワイトハット チームによって発見された後、Huobi セキュリティ チームは 2023 年 6 月 21 日 (10 日前) にできるだけ早くこれに対処し、関連ファイルへのアクセスを直ちに閉鎖しました。現在の脆弱性は修復され、関連するすべてのファイルが修復されました。ユーザー情報が削除されました。 Huobi のセキュリティへの貢献に感謝します。
全文は次のとおりです。
Huobi は、同社のクラウド ストレージへのアクセスを可能にする可能性のあるデータ侵害を密かに修正しました。 Huobi は、すべてのアマゾン ウェブ サービス S3 バケットへの書き込みアクセスを許可する一連の認証情報を誤って共有してしまいました。
同社は S3 バケットを使用して CDN と Web サイトをホストしています。誰でもこれらの資格情報を使用して、huobi.com ドメインや hbfile.net ドメインなどのコンテンツを変更できます。 Huobi 認証情報の漏洩は、ユーザーデータと内部文書の漏洩にもつながりました。
Huobi のバグを悪用した攻撃者は、史上最大の暗号通貨盗難を実行する機会を得るでしょう。
Huobi が対策を講じていなかった場合、この脆弱性が悪用されてユーザー アカウントや資産が盗まれた可能性があります。同社は侵害されたアカウントを削除し、ユーザーはもはや危険にさらされていません。
開いているアマゾン ウェブ サービス (AWS) S3 バケットをチェックしたところ、AWS 認証情報を含む機密ファイルを発見しました。調査した結果、認証情報は本物であり、アカウントは Huobi に属していることがわかりました。
Huobi は侵害で暴露されたアカウントを削除しましたが、同社はまだファイルを削除していません。資格情報は引き続きオンラインで利用でき、誰でもダウンロードできます。
Amazonが配布したメタデータによると、Huobiは2021年6月に誤ってこの文書を公開したという。
これは、同社が本番環境の AWS 認証情報を約 2 年間共有していることを意味します。
認証情報をダウンロードした人は誰でも、Huobi のクラウド ストレージ バケットに完全にアクセスできます。 Huobi のすべての S3 バケットでファイルをアップロードおよび削除できます。 Huobi はバケットを頻繁に使用するため、これは特に危険です。
これらの認証情報は、Huobi の多くのドメインを変更および制御するために使用される可能性があります。攻撃者は、Huobi のインフラストラクチャを悪用して、ユーザー アカウントや資産を盗み、マルウェアを拡散し、モバイル デバイスに感染させる可能性があります。
誰かがこの脆弱性を悪用して Huobi を攻撃した形跡はありません。
重要な S3 バケットへの書き込みアクセス
この侵害の影響を評価するために、私はまずできる限りすべてをリストアップしました。合計 315 件あり、その多くは非公開であることがわかりました。
これらのバケットの一部は、Huobi が運営する Web サイトや CDN と名前を共有しています。たとえば、多くの Huobi Web サイトやアプリケーションで使用されるコンテンツをホストする CDN です。
次に、バケットに書き込んでみます。 315 個のバケットすべてでファイルの書き込みと削除が可能です。以下のスクリーンショットでは、Huobi が Android アプリを保存および配布するために使用する CDN にファイルをアップロードしました。
悪意のあるユーザーが、Huobi Android アプリの修正バージョンをアップロードした可能性があります。
Amazon は IAM ロールを使用してクラウド サービスへのアクセスを制御します。 Huobi のような大企業がクラウド ストレージを管理するための単一のロールを作成することは珍しいことではありません。しかし、このアプローチは間違っています。
複数のチーム間で役割を共有すると、攻撃者に重要なアクセス権が与えられる可能性があります。この場合、機密レポートを読んだり、データベースのバックアップをダウンロードしたり、CDN や Web サイトのコンテンツを変更したりできます。私は、Huobi のビジネスのほぼすべての側面に関するデータを完全に管理しています。
おそらく、この侵害の最も危険な側面は、Huobi の CDN と Web サイトへの書き込みアクセスが許可されたことです。同社は、ブラックハットハッカーがインフラストラクチャへの書き込みアクセスを取得できないことを確認するテストに多額の費用を費やしています。 Huobi が同じアクセスを漏洩するのは腹立たしいです。
攻撃者が CDN に書き込みできるようになると、悪意のあるスクリプトを挿入する機会が簡単に見つかります。 CDN が侵害されると、それにリンクされているすべての Web サイトも侵害される可能性があります。 Huobi のログイン ポータルを例に挙げます。
Huobi の米国ログイン ページは、少なくとも 5 つの異なる CDN からリソースを読み込みます。上の赤い部分に注目してみましょう。 URL に文字列「s3.amazonaws」が含まれているため、5 つのうち 1 つは明らかにバケット huobicfg.s3.amazonaws です。
ただし、他の 4 つも侵害されたバケットに対応します。 Cloudfront に無効なリクエストに対して詳細な応答ヘッダーを生成させることができました。ヘッダーは、hbfile.net ドメインの一部が AmazonS3 を通じて Cloudfront によって提供されていることを示しています。
この場合、Cloudfront は仲介者として機能し、hbfile.com リクエストを S3 バケットにリダイレクトします。侵害されたバケットのリストで 5 つの CDN のうち 4 つを見つけました。
すべての CDN でファイルの書き込みと削除ができます。
一般に、侵害された CDN と Web サイトを消費者が検出することは困難です。ユーザーの観点から見ると、ユーザーは信頼できる Web サイトにアクセスしていることになります。ユーザーは、CDN に保存されているファイルが変更されたかどうかを知ることができません。
マルウェア対策ソフトウェアを使用すると、特定の悪意のあるスクリプトが正しいソースから提供されるため、実行が許可される場合があります。ブラックハット ハッカーにとって、CDN を侵害することは、Web サイトにコードやマルウェアを挿入する最も効果的な方法の 1 つです。
Huobi により、悪意のあるユーザーが CDN と Web サイトを簡単に乗っ取ることができました。私の知る限り、同社が運営するすべてのログイン ページがこの脆弱性の影響を受けます。
2 年間、Huobi の Web サイトまたはアプリにログインしたすべてのユーザーはアカウントを失う危険があります。
この侵害はプライバシーに関する懸念も引き起こします。 Huobi の漏洩した認証情報を使用して、ユーザー情報を含む顧客関係管理 (CRM) レポートにアクセスすることができました。
私が見つけたレポートには、「仮想通貨クジラ」の連絡先情報と口座残高が含まれていました。クジラは大量の暗号通貨を保有する裕福なユーザーであり、Huobi がクジラとの関係を構築することに明らかに興味を持っています。
同社はこれらのユーザーを能力レベルに基づいてランク付けしているようだ。市場への影響力が大きいユーザーが上位にランクされます。
Huobi は合計 4,960 人のユーザーの連絡先情報とアカウント情報を漏洩しました。
Huobi リークによって暴露された別のデータセット。店頭 (OTC) 取引のためのデータベースです。
解凍すると、データベースのバックアップは 2TB を超え、2017 年以降に Huobi が処理したすべての OTC トランザクションが含まれているようです。 OTC取引の利点の1つはプライバシーの向上であるため、これは多くのトレーダーにとって懸念事項である可能性があります。
いくつかの OTC 取引を以下で強調表示します。 Huobi で OTC 取引を行っている人は誰でも、2017 年以降、このような情報漏洩を経験しています。
上のスクリーンショットでは、ユーザー アカウント、取引の詳細、トレーダーの IP アドレスが表示されます。完全なデータベースには、そのようなトランザクションが何千万件も含まれています。
データベースには、Huobi が舞台裏で OTC プラットフォームをどのように管理しているかについての洞察を与えるメモもあります。
ドキュメントの詳細 Huobi のインフラストラクチャ
Huobi は自身に関する情報を漏洩しました。添付ファイルには、その運用インフラストラクチャの内部動作が示されています。ソフトウェア スタック、クラウド サービス、オンプレミス サーバー、その他の機密情報がリストされます。
これらのファイルは、Huobi から流出した他のデータと同様、現在は安全です。
Huobi 侵害の影響を受けた最もユニークな CDN の 1 つは、Utopo ブロックチェーン NFT です。悪意のあるユーザーが CDN 上の JSON ファイルを変更して NFT を編集する可能性があります。
NFT は、ブロックチェーン上の JSON ファイルへのリンクです。 JSON ファイルが変更されると、NFT の特性が変わります。この場合、変更を加えていないにもかかわらず、すべての NFT は編集可能です。
NFTを取り巻くセキュリティリスクはまだ調査中です。場合によっては、改変された NFT を使用して、ブラウザ、アプリケーション、またはゲームに悪意のあるコードを挿入する可能性があります。ここでそれが起こったことを示唆するものは何もありません。
タイムライン
イベントの完全なタイムラインは次のとおりです。
最終的に、Huobi は認証情報を取り消し、クラウド ストレージを保護しました。
Huobi ユーザーは九死に一生を得ることができました。
残念ながら、この場合、Huobi が適切に仕事をしたと結論付けることはできません。自社の Amazon 認証情報を漏洩するのは十分に悪質だったが、返答を得るまでに何か月もかかり、それでも Huobi は認証情報をオンラインに残すことを選択した。