Zveřejnění bílého klobouku: Huobi ve velkém v roce 2021 unikl informacím o OTC transakcích, informacích o velkých účtech, zákaznických informacích, interní technické struktuře atd.

Nedávno dostal uživatel e-mail s bílým kloboukem, ve kterém bylo uvedeno:

Ahoj, jmenuji se Aaron. Píši vám, abych vám oznámil, že některé vaše osobní údaje byly zveřejněny na internetu. Nahlásil jsem problém a ujistil se, že je vyřešen. Vaše informace již nejsou online.

Kryptoměnová burza Huobi při nedávném úniku dat omylem unikla „zpráva o velrybě“. Tyto zprávy obsahují jméno, telefonní číslo, adresu a e-mailovou adresu, které jste poskytli společnosti Huobi při registraci. Mají také zůstatky v peněžence a informace o vašem majetku.

phillips.technology je osobní webová stránka bílého hackera, občanského novináře a obhájce spotřebitelů Aarona Phillipse. Aaron Phillips je americký profesionál se 4 lety zkušeností v oblasti kybernetické bezpečnosti a 20 lety zkušeností v IT. Jeho práce se zaměřuje na ochranu spotřebitelů před narušením dat a narušení bezpečnosti a jeho práce byla uvedena na některých z nejpopulárnějších technologických zpravodajských serverů na světě. Mezi jeho oblasti zájmu patří bezpečnost mobilních a webových aplikací, cloudová bezpečnost a testování penetrace sítí.

Huobi odpověděl:

K incidentu došlo 22. června 2021 kvůli nepravidelným operacím příslušného personálu bucketu S3 v testovacím prostředí japonského webu. Příslušné uživatelské informace byly 8. října 2022 zcela izolované. Poté, co byl tento incident objeven týmem bílého klobouku, bezpečnostní tým Huobi se tím co nejdříve zabýval 21. června 2023 (před 10 dny) a okamžitě uzavřel přístup k příslušným souborům. Aktuální chyba zabezpečení byla opravena a vše relevantní informace o uživateli byly smazány. Děkujeme týmu bílého klobouku za jejich příspěvek k bezpečnosti Huobi.

Celý text je následující:

Huobi v tichosti opravil únik dat, který mohl umožnit přístup k cloudovému úložišti společnosti. Huobi neúmyslně sdílel sadu přihlašovacích údajů, které mu udělují přístup pro zápis do všech jeho segmentů Amazon Web Services S3.

Společnost používá k hostování svých CDN a webových stránek kbelíky S3. Kdokoli může tyto přihlašovací údaje použít k úpravě obsahu mimo jiné na doménách huobi.com a hbfile.net. Únik přihlašovacích údajů Huobi také vedl k odhalení uživatelských dat a interních dokumentů.

Útočníci, kteří zneužijí Huobiho chybu, budou mít příležitost provést největší krádež kryptoměn v historii.

Pokud by Huobi nepodnikla žádné kroky, zranitelnost mohla být zneužita k odcizení uživatelských účtů a aktiv. Společnost odstranila napadený účet a jeho uživatelé již nejsou ohroženi.

Když jsem zkontroloval otevřený kbelík Amazon Web Services (AWS) S3, objevil jsem citlivý soubor obsahující přihlašovací údaje AWS. Po nějakém průzkumu jsem zjistil, že přihlašovací údaje byly pravé a účet patřil Huobi.

Přestože společnost Huobi smazala účty odhalené při porušení, společnost dosud soubor nesmazala. Přihlašovací údaje jsou stále dostupné online, aby si je mohl kdokoli stáhnout:

Huobi dokument omylem zveřejnil v červnu 2021, podle metadat distribuovaných Amazonem.

To znamená, že společnost sdílí produkční AWS pověření asi dva roky.

Každý, kdo si stáhne přihlašovací údaje, má plný přístup k cloudovému úložiště Huobi. Jsem schopen nahrávat a mazat soubory ve všech S3 bucketech Huobi. To je obzvláště nebezpečné, protože Huobi intenzivně využívá kbelíky.

Tyto přihlašovací údaje lze použít k úpravě a ovládání mnoha domén Huobi. Útočníci mohou využít infrastrukturu Huobi ke krádeži uživatelských účtů a aktiv, šíření malwaru a infikování mobilních zařízení.

Nic nenasvědčuje tomu, že by někdo zneužil tuto zranitelnost k útoku na Huobi.

Přístup pro zápis do kritických segmentů S3

Abych zhodnotil dopad tohoto porušení, nejprve jsem uvedl vše, co jsem mohl. Zjistil jsem, že jich bylo celkem 315, mnoho z nich soukromých.

Některé z těchto bucketů sdílejí názvy s webovými stránkami a CDN provozovanými společností Huobi. Jedná se například o CDN, která hostí obsah používaný mnoha weby a aplikacemi Huobi.

Dále se snažím psát do kýblu. Jsem schopen zapisovat a mazat soubory ve všech 315 bucklech. Na níže uvedeném snímku obrazovky jsem nahrál soubor do CDN, který Huobi používá k ukládání a distribuci aplikací pro Android.

Uživatel se zlými úmysly mohl nahrát upravenou verzi aplikace Huobi pro Android.

Amazon používá role IAM k řízení přístupu ke svým cloudovým službám. Není neobvyklé, že velké společnosti jako Huobi vytvoří jedinou roli pro správu svého cloudového úložiště. Tento přístup je ale špatný.

Sdílení role mezi více týmy může útočníkům poskytnout významný přístup. V tomto případě mohu číst důvěrné zprávy, stahovat zálohy databáze a upravovat obsah na CDN a webových stránkách. Mám úplnou kontrolu nad daty o téměř každém aspektu podnikání Huobi.

Pravděpodobně nejnebezpečnějším aspektem tohoto porušení je přístup pro zápis, který byl udělen na CDN a webové stránky Huobi. Společnost utrácí spoustu peněz na testování, aby zajistila, že black hat hackeři nemohou získat přístup pro zápis do infrastruktury. Je frustrující, že Huobi by prozradil stejný přístup.

Jakmile může útočník zapisovat do CDN, je snadné najít příležitosti k vložení škodlivých skriptů. Jakmile je CDN kompromitována, mohou být kompromitovány také všechny webové stránky, které jsou s ní spojené. Vezměte si jako příklad přihlašovací portál Huobi.

Přihlašovací stránka Huobi v USA načítá zdroje z nejméně pěti různých CDN. Zaměřme se na červenou část nahoře. Jedním z pěti je evidentně bucket, huobicfg.s3.amazonaws, protože URL obsahuje řetězec "s3.amazonaws".

Ale další čtyři také odpovídají kompromitovaným kbelíkům. Podařilo se mi přimět Cloudfront, aby generoval hlavičky podrobných odpovědí pro neplatné požadavky. Záhlaví ukazuje, že část domény hbfile.net je obsluhována Cloudfront prostřednictvím AmazonS3.

V tomto případě Cloudfront funguje jako prostředník a přesměrovává požadavky hbfile.com do segmentu S3. Našel jsem čtyři z pěti CDN v seznamu ohrožených bucketů.

Mohu zapisovat a mazat soubory na všech CDN.

Obecně je pro spotřebitele obtížné odhalit napadené CDN a webové stránky. Z pohledu uživatele se jedná o návštěvu důvěryhodné webové stránky. Uživatelé nemohou zjistit, zda byly změněny soubory uložené na CDN.

S antimalwarovým softwarem může být povoleno spouštění určitých škodlivých skriptů, protože jsou poskytovány ze správného zdroje. Pro black hat hackery je kompromitace CDN jedním z nejúčinnějších způsobů, jak vložit kód nebo malware na web.

Huobi usnadnil uživatelům se zlými úmysly převzít jejich CDN a web. Pokud vím, každá přihlašovací stránka provozovaná společností je touto zranitelností postižena.

Po dobu dvou let riskuje každý uživatel, který se přihlásí na web nebo aplikaci Huobi, ztrátu svého účtu.

Porušení také vyvolává obavy o soukromí. Pomocí uniklých přihlašovacích údajů společnosti Huobi jsem měl přístup k sestavám řízení vztahů se zákazníky (CRM) obsahujícími informace o uživatelích.

Zprávy, které jsem našel, obsahovaly kontaktní informace a zůstatky na účtech pro „kryptovelryby“. Velryby jsou bohatí uživatelé s velkým množstvím kryptoměn a Huobi má zjevný zájem na budování vztahů s nimi.

Zdá se, že společnost tyto uživatele řadí podle úrovně jejich schopností. Uživatelé s větším tržním vlivem budou umístěni výše.

Celkem Huobi unikl kontaktní údaje a informace o účtu 4 960 uživatelů.

Další sada dat odhalená únikem Huobi. Je databáze pro mimoburzovní (OTC) transakce.

Po rozbalení záloha databáze přesahuje 2 TB a zdá se, že obsahuje každou OTC transakci, kterou Huobi zpracoval od roku 2017. To může být pro mnoho obchodníků znepokojivé, protože jednou z výhod OTC obchodování je větší soukromí.

Některé OTC obchody jsou zvýrazněny níže. Každý, kdo obchoduje OTC na Huobi, zažil takové úniky informací od roku 2017.

Na výše uvedeném snímku obrazovky můžete vidět uživatelský účet, podrobnosti o transakci a IP adresu obchodníka. Kompletní databáze obsahuje desítky milionů takových transakcí.

V databázi jsou také poznámky, které nám poskytují určitý přehled o tom, jak Huobi spravuje svou OTC platformu v zákulisí.

Dokument podrobně popisuje infrastrukturu Huobi

Huobi o sobě prozradila informace. Příloha ukazuje vnitřní fungování její výrobní infrastruktury. Jsou uvedeny balíčky softwaru, cloudové služby, místní servery a další citlivé podrobnosti.

Tyto soubory, stejně jako další data uniklá z Huobi, jsou nyní v bezpečí.

Jedním z nejunikátnějších CDN postižených porušením Huobi je Utopo Blockchain NFT. Uživatel se zlými úmysly by mohl změnit soubor JSON na CDN a upravit tak NFT.

NFT jsou odkazy na soubory JSON na blockchainu. Když jsou soubory JSON upraveny, mění vlastnosti NFT. V tomto případě jsou všechny NFT editovatelné, i když jsem neprovedl žádné změny.

Bezpečnostní rizika kolem NFT se stále zkoumají. V některých případech mohou být modifikované NFT použity k vložení škodlivého kódu do prohlížečů, aplikací nebo her. Nic nenasvědčuje tomu, že se zde stalo.

Časová osa

Zde je úplný časový rozvrh událostí:

Nakonec společnost Huobi zrušila přihlašovací údaje a zajistila své cloudové úložiště.

Uživatelé Huobi unikli jen o vlásek.

Bohužel v tomto případě nemohu dojít k závěru, že Huobi odvedli svou práci dobře. Bylo dost špatné prozradit své vlastní přihlašovací údaje pro Amazon, ale trvalo měsíce, než dostali odpověď, a i poté se Huobi rozhodl nechat přihlašovací údaje online.