Dezvăluirea pălăriei albe: Huobi a divulgat informații despre tranzacții OTC, informații mari despre cont, informații despre clienți, structura tehnică internă etc. la scară largă în 2021

Recent, un utilizator a primit un e-mail cu pălărie albă, care spunea:
Bună, numele meu este Aaron. Vă scriu pentru a vă anunța că unele dintre informațiile dumneavoastră personale au fost făcute publice pe internet. Am raportat problema și m-am asigurat că a fost rezolvată. Informațiile dvs. nu mai sunt online.
Schimbul de criptomonede Huobi a scurs accidental un „raport de balenă” într-o breșă recentă a datelor. Aceste rapoarte conțin numele, numărul de telefon, adresa și adresa de e-mail pe care le-ați furnizat lui Huobi atunci când v-ați înregistrat. De asemenea, au solduri de portofel și informații despre activele dvs.
phillips.technology este site-ul web personal al hackerului cu pălărie albă, jurnalistului cetățean și avocat al consumatorilor Aaron Phillips. Aaron Phillips este un profesionist american cu 4 ani de experiență în domeniul securității cibernetice și 20 de ani de experiență IT. Munca sa se concentrează pe protejarea consumatorilor de încălcări ale datelor și de securitate, iar munca sa a fost prezentată pe unele dintre cele mai populare site-uri de știri despre tehnologie din lume. Domeniile sale de interes includ securitatea aplicațiilor mobile și web, securitatea în cloud și testarea de penetrare a rețelei.
Huobi a răspuns:
Incidentul a avut loc pe 22 iunie 2021 din cauza operațiunilor neregulate ale personalului relevant al găleții S3 în mediul de testare al site-ului japonez. Informațiile relevante despre utilizator au fost complet izolate pe 8 octombrie 2022. După ce acest incident a fost descoperit de echipa de pălărie albă, echipa de securitate Huobi s-a ocupat de el cât mai curând posibil pe 21 iunie 2023 (acum 10 zile) și a închis imediat accesul la fișierele relevante. Vulnerabilitatea actuală a fost reparată și toate relevante informațiile despre utilizator au fost șterse. Mulțumim echipei cu pălărie albă pentru contribuția la securitatea Huobi.
Textul integral este următorul:
Huobi a remediat în liniște o breșă de date care ar fi putut permite accesarea stocării în cloud a companiei. Huobi a partajat din neatenție un set de acreditări care acordă acces de scriere la toate compartimentele sale Amazon Web Services S3.
Compania folosește compartimentele S3 pentru a-și găzdui CDN-ul și site-ul web. Oricine poate folosi aceste acreditări pentru a modifica conținutul de pe domeniile huobi.com și hbfile.net, printre altele. Scurgerea acreditărilor Huobi a dus și la expunerea datelor utilizatorilor și a documentelor interne.
Atacatorii care exploatează bug-ul lui Huobi vor avea ocazia să comită cel mai mare furt de criptomonede din istorie.
Dacă Huobi nu ar fi luat măsuri, această vulnerabilitate ar fi putut fi exploatată pentru a fura conturi de utilizator și active. Compania a eliminat contul compromis și utilizatorii săi nu mai sunt expuși riscului.
Când am verificat un compartiment S3 Amazon Web Services (AWS) deschis, am descoperit un fișier sensibil care conține acreditări AWS. După câteva cercetări, am aflat că acreditările erau autentice și că contul îi aparținea lui Huobi.
Deși Huobi a șters conturile expuse în încălcare, compania nu a șters încă fișierul. Acreditările sunt încă disponibile online pentru a putea descărca oricine:
Huobi a lansat accidental documentul în iunie 2021, conform metadatelor distribuite de Amazon.
Aceasta înseamnă că compania a partajat acreditările AWS de producție de aproximativ doi ani.
Toți cei care descarcă acreditările au acces complet la compartimentul de stocare în cloud al Huobi. Pot să încarc și să șterg fișiere din toate compartimentele S3 ale Huobi. Acest lucru este deosebit de periculos deoarece Huobi folosește intens găleți.
Aceste acreditări pot fi folosite pentru a modifica și controla numeroasele domenii ale Huobi. Atacatorii pot exploata infrastructura Huobi pentru a fura conturi și active de utilizator, răspândi programe malware și infecta dispozitive mobile.
Nu există niciun indiciu că cineva a exploatat această vulnerabilitate pentru a ataca Huobi.
Acces de scriere la compartimentele S3 critice
Pentru a evalua impactul acestei încălcări, am enumerat mai întâi tot ce am putut. Am descoperit că erau 315 în total, multe dintre ele private.
Unele dintre aceste găleți au nume cu site-uri web și CDN-uri operate de Huobi. De exemplu, este un CDN care găzduiește conținut utilizat de multe site-uri web și aplicații Huobi.
Apoi, încerc să scriu în găleată. Pot să scriu și să șterg fișiere din toate cele 315 găleți. În captura de ecran de mai jos, am încărcat un fișier în CDN-ul folosit de Huobi pentru a stoca și a distribui aplicații Android.
Este posibil ca un utilizator rău intenționat să fi încărcat o versiune modificată a aplicației Huobi pentru Android.
Amazon folosește roluri IAM pentru a controla accesul la serviciile sale cloud. Nu este neobișnuit ca companiile mari precum Huobi să creeze un singur rol pentru a-și gestiona stocarea în cloud. Dar această abordare este o abordare proastă.
Împărtășirea unui rol între mai multe echipe poate oferi atacatorilor acces semnificativ. În acest caz, pot citi rapoarte confidențiale, pot descărca copii de siguranță ale bazei de date și pot modifica conținutul pe CDN și pe site-ul web. Am control complet asupra datelor despre aproape fiecare aspect al afacerii lui Huobi.
Probabil, cel mai periculos aspect al acestei încălcări este accesul de scriere pe care l-a acordat CDN-ului și site-ului web Huobi. Compania cheltuiește o mulțime de bani pe testare pentru a se asigura că hackerii black hat nu pot obține acces la scriere la infrastructură. Este frustrant că Huobi ar scurge același acces.
Odată ce un atacator poate scrie pe un CDN, este ușor să găsiți oportunități de a injecta scripturi rău intenționate. Odată ce un CDN este compromis, toate site-urile web legate de acesta pot fi, de asemenea, compromise. Luați ca exemplu portalul de conectare al lui Huobi.
Pagina de conectare a lui Huobi în SUA încarcă resurse de la cel puțin cinci CDN-uri diferite. Să ne concentrăm pe partea roșie de mai sus. Una dintre cele cinci este, evident, o găleată, huobicfg.s3.amazonaws, deoarece adresa URL conține șirul „s3.amazonaws”.
Dar celelalte patru corespund și găleților compromise. Am reușit să-l fac pe Cloudfront să genereze anteturi de răspuns detaliate pentru cereri nevalide. Antetul arată că o parte a domeniului hbfile.net este deservită de Cloudfront prin AmazonS3.
În acest caz, Cloudfront acționează ca un intermediar, redirecționând cererile hbfile.com către bucket-ul S3. Am găsit patru din cele cinci CDN-uri în lista de găleți compromise.
Pot scrie și șterge fișiere pe toate CDN-urile.
În general, CDN-urile și site-urile web compromise sunt dificil de detectat de către consumatori. Din perspectiva utilizatorului, acesta vizitează un site web de încredere. Utilizatorii nu pot spune dacă fișierele stocate pe CDN au fost modificate.
Cu software-ul anti-malware, anumite scripturi rău intenționate pot fi permise să ruleze, deoarece sunt difuzate din sursa corectă. Pentru hackerii black hat, compromiterea unui CDN este una dintre cele mai eficiente moduri de a injecta cod sau malware într-un site web.
Huobi le-a făcut ușor utilizatorilor rău intenționați să preia CDN-ul și site-ul lor web. Din câte știu, fiecare pagină de autentificare operată de companie este afectată de această vulnerabilitate.
Timp de doi ani, fiecare utilizator care se conectează la site-ul web sau la aplicația Huobi riscă să-și piardă contul.
Încălcarea ridică și preocupări legate de confidențialitate. Folosind acreditările lui Huobi, am putut accesa rapoartele de management al relațiilor cu clienții (CRM) care conțineau informații despre utilizatori.
Rapoartele pe care le-am găsit aveau informații de contact și solduri de cont pentru „criptobalenele”. Balenele sunt utilizatori bogați cu cantități mari de criptomonede, iar Huobi este în mod clar interesat să construiască relații cu ele.
Compania pare să clasifice acești utilizatori în funcție de nivelul lor de abilități. Utilizatorii cu o influență mai mare pe piață vor fi clasați mai sus.
În total, Huobi a divulgat informațiile de contact și informațiile contului a 4.960 de utilizatori.
Un alt set de date expuse de scurgerea Huobi. Este o bază de date pentru tranzacții over-the-counter (OTC).
Când este dezarhivată, backupul bazei de date depășește 2 TB și pare să conțină fiecare tranzacție OTC pe care Huobi a procesat-o din 2017. Acest lucru poate fi o preocupare pentru mulți comercianți, deoarece unul dintre beneficiile tranzacționării OTC este confidențialitatea sporită.
Unele tranzacții OTC sunt evidențiate mai jos. Oricine face tranzacții OTC pe Huobi a experimentat astfel de scurgeri de informații din 2017.
În captura de ecran de mai sus, puteți vedea contul de utilizator, detaliile tranzacției și adresa IP a comerciantului. Baza de date completă conține zeci de milioane de astfel de tranzacții.
Există, de asemenea, note în baza de date care ne oferă o perspectivă asupra modului în care Huobi își gestionează platforma OTC în culise.
Documentul detaliază infrastructura lui Huobi
Huobi a scurs informații despre sine. Atașamentul arată funcționarea interioară a infrastructurii sale de producție. Sunt enumerate stivele de software, serviciile cloud, serverele locale și alte detalii sensibile.
Aceste fișiere, ca și alte date scurse de la Huobi, sunt acum în siguranță.
Unul dintre cele mai unice CDN-uri afectate de încălcarea Huobi este Utopo Blockchain NFT. Un utilizator rău intenționat ar putea modifica fișierul JSON de pe CDN pentru a edita NFT.
NFT-urile sunt link-uri către fișiere JSON din blockchain. Când fișierele JSON sunt modificate, acestea modifică caracteristicile NFT. În acest caz, toate NFT-urile sunt editabile, chiar dacă nu am făcut nicio modificare.
Riscurile de securitate din jurul NFT-urilor sunt încă explorate. În unele cazuri, NFT-urile modificate pot fi folosite pentru a injecta cod rău intenționat în browsere, aplicații sau jocuri. Nu există nimic care să sugereze că s-a întâmplat aici.
cronologie
Iată cronologia completă a evenimentelor:
În cele din urmă, Huobi a revocat acreditările și și-a asigurat stocarea în cloud.
Utilizatorii Huobi au scăpat pe scurt.
Din păcate, în acest caz, nu pot concluziona că Huobi și-a făcut treaba bine. A fost destul de rău pentru a-și divulga propriile acreditări Amazon, dar a durat luni pentru a obține un răspuns și, chiar și atunci, Huobi a ales să lase acreditările online.