Baltās cepures atklāšana: Huobi 2021. gadā plašā mērogā ir nopludinājis ārpusbiržas darījumu informāciju, lielu konta informāciju, informāciju par klientiem, iekšējo tehnisko struktūru utt.

Nesen kāds lietotājs saņēma baltās cepures e-pastu, kurā bija teikts:
Sveiki, mani sauc Ārons. Es rakstu, lai jūs informētu, ka daļa no jūsu personas informācijas ir publiskota internetā. Es ziņoju par problēmu un pārliecinājos, ka tā ir novērsta. Jūsu informācija vairs nav tiešsaistē.
Kriptovalūtas birža Huobi nejauši nopludināja "vaļa ziņojumu" nesenā datu pārkāpumā. Šajos pārskatos ir norādīts vārds, tālruņa numurs, adrese un e-pasta adrese, kuru norādījāt Huobi, reģistrējoties. Viņiem ir arī maka atlikumi un informācija par jūsu aktīviem.
phillips.technology ir balto cepuru hakera, pilsoņu žurnālista un patērētāju aizstāvja Ārona Filipsa personīgā vietne. Ārons Filipss ir amerikāņu profesionālis ar 4 gadu pieredzi kiberdrošības jomā un 20 gadu IT pieredzi. Viņa darbs ir vērsts uz patērētāju aizsardzību pret datu pārkāpumiem un drošības pārkāpumiem, un viņa darbs ir publicēts dažās no populārākajām tehnoloģiju ziņu vietnēm pasaulē. Viņa uzmanības lokā ietilpst mobilo un tīmekļa lietojumprogrammu drošība, mākoņa drošība un tīkla iespiešanās pārbaude.
Huobi atbildēja:
Incidents notika 2021. gada 22. jūnijā, jo Japānas vietnes testa vidē attiecīgais personāls veica neregulāras darbības. Attiecīgā lietotāja informācija tika pilnībā izolēta 2022. gada 8. oktobrī. Pēc tam, kad baltās cepures komanda atklāja šo incidentu, Huobi drošības komanda ar to tika galā pēc iespējas ātrāk 2023. gada 21. jūnijā (pirms 10 dienām) un nekavējoties slēdza piekļuvi attiecīgajiem failiem. Pašreizējā ievainojamība ir novērsta lietotāja informācija ir dzēsta. Paldies baltās cepures komandai par ieguldījumu Huobi drošībā.
Pilns teksts ir šāds:
Huobi ir klusi novērsis datu pārkāpumu, kas varēja ļaut piekļūt uzņēmuma mākoņkrātuvei. Huobi netīšām kopīgoja akreditācijas datu kopu, piešķirot rakstīšanas piekļuvi visiem saviem Amazon Web Services S3 segmentiem.
Uzņēmums izmanto S3 segmentus, lai mitinātu savu CDN un vietni. Ikviens var izmantot šos akreditācijas datus, lai cita starpā modificētu saturu domēnos huobi.com un hbfile.net. Huobi akreditācijas datu noplūde izraisīja arī lietotāja datu un iekšējo dokumentu atklāšanu.
Uzbrucējiem, kuri izmantos Huobi kļūdu, būs iespēja veikt lielāko kriptovalūtas zādzību vēsturē.
Ja Huobi nebūtu rīkojies, ievainojamība varētu tikt izmantota, lai nozagtu lietotāju kontus un īpašumus. Uzņēmums noņēma apdraudēto kontu, un tā lietotāji vairs nav apdraudēti.
Pārbaudot atvērtu Amazon Web Services (AWS) S3 segmentu, es atklāju sensitīvu failu, kurā bija AWS akreditācijas dati. Pēc nelielas izpētes es noskaidroju, ka akreditācijas dati ir īsti un konts pieder Huobi.
Lai gan Huobi izdzēsa pārkāpumā atklātos kontus, uzņēmums vēl nav izdzēsis failu. Akreditācijas dati joprojām ir pieejami tiešsaistē, lai ikviens varētu lejupielādēt:
Saskaņā ar Amazon izplatītajiem metadatiem Huobi nejauši izlaida dokumentu 2021. gada jūnijā.
Tas nozīmē, ka uzņēmums ir kopīgojis ražošanas AWS akreditācijas datus apmēram divus gadus.
Ikvienam, kurš lejupielādē akreditācijas datus, ir pilna piekļuve Huobi mākoņkrātuves kausam. Es varu augšupielādēt un dzēst failus visos Huobi S3 segmentos. Tas ir īpaši bīstami, jo Huobi intensīvi izmanto spaiņus.
Šos akreditācijas datus var izmantot, lai modificētu un kontrolētu daudzos Huobi domēnus. Uzbrucēji var izmantot Huobi infrastruktūru, lai nozagtu lietotāju kontus un īpašumus, izplatītu ļaunprātīgu programmatūru un inficētu mobilās ierīces.
Nekas neliecina, ka kāds būtu izmantojis šo ievainojamību, lai uzbruktu Huobi.
Rakstīšanas piekļuve kritiskajiem S3 segmentiem
Lai novērtētu šī pārkāpuma ietekmi, es vispirms uzskaitīju visu, ko spēju. Es atklāju, ka kopumā ir 315, daudzi no tiem privāti.
Dažiem no šiem segmentiem ir kopīgi nosaukumi ar vietnēm un CDN, ko pārvalda Huobi. Piemēram, ir CDN, kas mitina saturu, ko izmanto daudzas Huobi vietnes un lietojumprogrammas.
Tālāk mēģinu rakstīt spainim. Es varu rakstīt un dzēst failus visos 315 segmentos. Tālāk esošajā ekrānuzņēmumā es augšupielādēju failu CDN, ko Huobi izmantoja Android lietotņu glabāšanai un izplatīšanai.
Ļaunprātīgs lietotājs, iespējams, ir augšupielādējis modificētu Android lietotnes Huobi versiju.
Amazon izmanto IAM lomas, lai kontrolētu piekļuvi saviem mākoņpakalpojumiem. Nav nekas neparasts, ka lielie uzņēmumi, piemēram, Huobi, izveido vienu lomu, lai pārvaldītu savu mākoņkrātuvi. Bet šī pieeja ir slikta.
Lomas dalīšana vairākām komandām var nodrošināt uzbrucējiem ievērojamu piekļuvi. Šajā gadījumā es varu lasīt konfidenciālus pārskatus, lejupielādēt datu bāzes dublējumus un modificēt CDN un tīmekļa vietnes saturu. Man ir pilnīga kontrole pār datiem par gandrīz visiem Huobi uzņēmējdarbības aspektiem.
Neapšaubāmi, visbīstamākais šī pārkāpuma aspekts ir rakstīšanas piekļuve, kas piešķirta Huobi CDN un vietnei. Uzņēmums tērē daudz naudas testēšanai, lai nodrošinātu, ka melno cepuru hakeri nevar iegūt rakstīšanas piekļuvi infrastruktūrai. Tas ir apgrūtinoši, ka Huobi noplūdīs tādu pašu piekļuvi.
Kad uzbrucējs var rakstīt CDN, ir viegli atrast iespējas ievadīt ļaunprātīgus skriptus. Kad CDN ir uzlauzts, var tikt apdraudētas arī visas ar to saistītās vietnes. Kā piemēru ņemiet Huobi pieteikšanās portālu.
Huobi ASV pieteikšanās lapa ielādē resursus no vismaz pieciem dažādiem CDN. Koncentrēsimies uz iepriekš minēto sarkano daļu. Viens no pieciem acīmredzot ir kopa, huobicfg.s3.amazonaws, jo URL satur virkni "s3.amazonaws".
Bet pārējie četri arī atbilst kompromitētajiem spaiņiem. Man izdevās panākt, lai Cloudfront ģenerētu detalizētas atbilžu galvenes nederīgiem pieprasījumiem. Galvene parāda, ka daļu no domēna hbfile.net apkalpo Cloudfront, izmantojot AmazonS3.
Šajā gadījumā Cloudfront darbojas kā starpnieks, novirzot hbfile.com pieprasījumus uz S3 segmentu. Kompromitēto segmentu sarakstā es atradu četrus no pieciem CDN.
Es varu rakstīt un dzēst failus visos CDN.
Parasti patērētājiem ir grūti atklāt apdraudētus CDN un vietnes. No lietotāja viedokļa viņi apmeklē uzticamu vietni. Lietotāji nevar pateikt, vai CDN saglabātie faili ir mainīti.
Izmantojot pretļaunatūras programmatūru, noteiktiem ļaunprātīgiem skriptiem var tikt atļauts palaist, jo tie tiek apkalpoti no pareizā avota. Melnās cepures hakeriem CDN kompromitēšana ir viens no efektīvākajiem veidiem, kā vietnē ievadīt kodu vai ļaunprātīgu programmatūru.
Huobi ļāva ļaunprātīgiem lietotājiem viegli pārņemt viņu CDN un vietni. Cik man zināms, šī ievainojamība ietekmē katru uzņēmuma pārvaldīto pieteikšanās lapu.
Divus gadus katrs lietotājs, kurš piesakās Huobi vietnē vai lietotnē, riskē zaudēt savu kontu.
Pārkāpums rada arī bažas par privātumu. Izmantojot Huobi nopludinātos akreditācijas datus, es varēju piekļūt klientu attiecību pārvaldības (CRM) pārskatiem, kas satur lietotāja informāciju.
Pārskatos, ko atradu, bija kontaktinformācija un konta atlikumi “kriptovaļiem”. Vaļi ir bagāti lietotāji ar lielu kriptovalūtu daudzumu, un Huobi nepārprotami ir ieinteresēts veidot attiecības ar viņiem.
Šķiet, ka uzņēmums šos lietotājus sarindo, pamatojoties uz viņu spēju līmeni. Lietotāji ar lielāku ietekmi tirgū tiks novērtēti augstāk.
Kopumā Huobi nopludināja 4960 lietotāju kontaktinformāciju un konta informāciju.
Vēl viens datu kopums, ko atklāja Huobi noplūde. Ir datu bāze ārpusbiržas (OTC) darījumiem.
Pēc izsaiņošanas datu bāzes dublējums pārsniedz 2 TB, un šķiet, ka tajā ir ietverti visi ārpusbiržas darījumi, ko Huobi ir apstrādājis kopš 2017. gada. Tas var radīt bažas daudziem tirgotājiem, jo ​​viena no ārpusbiržas tirdzniecības priekšrocībām ir privātuma palielināšana.
Daži ārpusbiržas darījumi ir izcelti zemāk. Ikviens, kas nodarbojas ar ārpusbiržas tirdzniecību Huobi, ir pieredzējis šādu informācijas noplūdi kopš 2017. gada.
Iepriekš redzamajā ekrānuzņēmumā varat redzēt lietotāja kontu, darījumu informāciju un tirgotāja IP adresi. Pilnajā datu bāzē ir desmitiem miljonu šādu darījumu.
Datubāzē ir arī piezīmes, kas sniedz mums ieskatu par to, kā Huobi aizkulisēs pārvalda savu ārpusbiržas platformu.
Dokumentā ir sniegta informācija par Huobi infrastruktūru
Huobi nopludināja informāciju par sevi. Pielikumā parādīta tās ražošanas infrastruktūras iekšējā darbība. Tiek uzskaitīti programmatūras skursteņi, mākoņpakalpojumi, lokālie serveri un cita sensitīva informācija.
Šie faili, tāpat kā citi dati, kas nopludināti no Huobi, tagad ir drošībā.
Viens no unikālākajiem CDN, ko ietekmējis Huobi pārkāpums, ir Utopo Blockchain NFT. Ļaunprātīgs lietotājs var mainīt JSON failu CDN, lai rediģētu NFT.
NFT ir saites uz JSON failiem blokķēdē. Kad JSON faili tiek modificēti, tie maina NFT raksturlielumus. Šajā gadījumā visi NFT ir rediģējami, lai gan es nekādas izmaiņas neveicu.
Drošības riski, kas saistīti ar NFT, joprojām tiek pētīti. Dažos gadījumos modificētus NFT var izmantot, lai pārlūkprogrammās, lietojumprogrammās vai spēlēs ievadītu ļaunprātīgu kodu. Nekas neliecina, ka tas šeit būtu noticis.
laika skala
Šeit ir pilns notikumu laika grafiks:
Galu galā Huobi atsauca akreditācijas datus un nodrošināja viņu mākoņkrātuvi.
Huobi lietotāji par maz aizbēga.
Diemžēl šajā gadījumā nevaru secināt, ka Huobi būtu labi paveikuši savu darbu. Tas bija pietiekami slikti, lai nopludinātu savus Amazon akreditācijas datus, taču atbildes saņemšana prasīja vairākus mēnešus, un pat tad Huobi izvēlējās akreditācijas datus atstāt tiešsaistē.