Kürzlich erhielt ein Benutzer eine White-Hat-E-Mail, in der es hieß:

Hallo, mein Name ist Aaron. Ich schreibe Ihnen, um Ihnen mitzuteilen, dass einige Ihrer persönlichen Daten im Internet veröffentlicht wurden. Ich habe das Problem gemeldet und sichergestellt, dass es behoben wurde. Ihre Daten sind nicht mehr online.

Die Kryptowährungsbörse Huobi hat bei einem kürzlich erfolgten Datenverstoß versehentlich einen „Walbericht“ durchsickern lassen. Diese Berichte enthalten den Namen, die Telefonnummer, die Adresse und die E-Mail-Adresse, die Sie Huobi bei der Registrierung mitgeteilt haben. Sie verfügen auch über Wallet-Guthaben und Informationen über Ihr Vermögen.

phillips.technology ist die persönliche Website des White-Hat-Hackers, Bürgerjournalisten und Verbraucherschützers Aaron Phillips. Aaron Phillips ist ein amerikanischer Fachmann mit 4 Jahren Erfahrung im Bereich Cybersicherheit und 20 Jahren IT-Erfahrung. Der Schwerpunkt seiner Arbeit liegt auf dem Schutz von Verbrauchern vor Datenschutzverletzungen und Sicherheitsverletzungen, und seine Arbeit wurde auf einigen der beliebtesten Technologie-Nachrichtenseiten der Welt vorgestellt. Zu seinen Schwerpunkten gehören die Sicherheit mobiler und Webanwendungen, Cloud-Sicherheit und Netzwerkpenetrationstests.

Huobi antwortete:

Der Vorfall ereignete sich am 22. Juni 2021 aufgrund unregelmäßiger Operationen des S3-Buckets in der Testumgebung des japanischen Standorts. Die relevanten Benutzerinformationen wurden am 8. Oktober 2022 vollständig isoliert. Nachdem dieser Vorfall vom White-Hat-Team entdeckt wurde, hat sich das Huobi-Sicherheitsteam am 21. Juni 2023 (vor 10 Tagen) so schnell wie möglich darum gekümmert und den Zugriff auf die relevanten Dateien sofort gesperrt. Die aktuelle Sicherheitslücke wurde behoben und alle relevanten Daten wurden gelöscht Benutzerinformationen wurden gelöscht. Vielen Dank an das White-Hat-Team für seinen Beitrag zur Sicherheit von Huobi.

Der vollständige Text lautet wie folgt:

Huobi hat stillschweigend eine Datenschutzverletzung behoben, die den Zugriff auf den Cloud-Speicher des Unternehmens hätte ermöglichen können. Huobi hat versehentlich eine Reihe von Anmeldeinformationen weitergegeben, die Schreibzugriff auf alle seine Amazon Web Services S3-Buckets gewähren.

Das Unternehmen verwendet S3-Buckets zum Hosten seines CDN und seiner Website. Jeder kann diese Anmeldeinformationen verwenden, um unter anderem Inhalte auf den Domänen huobi.com und hbfile.net zu ändern. Das Durchsickern der Huobi-Zugangsdaten führte auch zur Offenlegung von Benutzerdaten und internen Dokumenten.

Angreifer, die Huobis Fehler ausnutzen, haben die Möglichkeit, den größten Kryptowährungsdiebstahl in der Geschichte zu begehen.

Hätte Huobi nichts unternommen, hätte die Sicherheitslücke ausgenutzt werden können, um Benutzerkonten und Vermögenswerte zu stehlen. Das Unternehmen hat das kompromittierte Konto entfernt und seine Benutzer sind nicht mehr gefährdet.

Als ich einen offenen S3-Bucket von Amazon Web Services (AWS) überprüfte, entdeckte ich eine vertrauliche Datei mit AWS-Anmeldeinformationen. Nach einigen Recherchen fand ich heraus, dass die Zugangsdaten echt waren und das Konto Huobi gehörte.

Obwohl Huobi die durch den Verstoß aufgedeckten Konten gelöscht hat, hat das Unternehmen die Datei noch nicht gelöscht. Die Anmeldeinformationen stehen weiterhin online zum Download für jedermann zur Verfügung:

Laut von Amazon verbreiteten Metadaten veröffentlichte Huobi das Dokument versehentlich im Juni 2021.

Das bedeutet, dass das Unternehmen seit etwa zwei Jahren AWS-Anmeldeinformationen für die Produktion weitergibt.

Jeder, der die Zugangsdaten herunterlädt, hat vollen Zugriff auf den Cloud-Speicher-Bucket von Huobi. Ich kann Dateien in allen S3-Buckets von Huobi hochladen und löschen. Dies ist besonders gefährlich, da Huobi häufig Eimer verwendet.

Diese Anmeldeinformationen können verwendet werden, um die vielen Domänen von Huobi zu ändern und zu kontrollieren. Angreifer können die Infrastruktur von Huobi ausnutzen, um Benutzerkonten und Vermögenswerte zu stehlen, Malware zu verbreiten und mobile Geräte zu infizieren.

Es gibt keinen Hinweis darauf, dass jemand diese Sicherheitslücke ausgenutzt hat, um Huobi anzugreifen.

Schreibzugriff auf kritische S3-Buckets

Um die Auswirkungen dieses Verstoßes einzuschätzen, habe ich zunächst alles aufgelistet, was ich konnte. Ich habe festgestellt, dass es insgesamt 315 waren, viele davon privat.

Einige dieser Buckets teilen Namen mit Websites und CDNs, die von Huobi betrieben werden. Ist beispielsweise ein CDN, das Inhalte hostet, die von vielen Huobi-Websites und -Apps verwendet werden.

Als nächstes versuche ich, in den Eimer zu schreiben. Ich kann Dateien in allen 315 Buckets schreiben und löschen. Im Screenshot unten habe ich eine Datei auf das CDN hochgeladen, das Huobi zum Speichern und Verteilen von Android-Apps verwendet.

Ein böswilliger Benutzer hat möglicherweise eine modifizierte Version der Huobi-Android-App hochgeladen.

Amazon verwendet IAM-Rollen, um den Zugriff auf seine Cloud-Dienste zu steuern. Es ist nicht ungewöhnlich, dass große Unternehmen wie Huobi eine einzige Rolle für die Verwaltung ihres Cloud-Speichers einrichten. Aber dieser Ansatz ist schlecht.

Die Aufteilung einer Rolle auf mehrere Teams kann Angreifern erhebliche Zugriffsrechte verschaffen. In diesem Fall kann ich vertrauliche Berichte lesen, Datenbanksicherungen herunterladen und Inhalte im CDN und auf der Website ändern. Ich habe die vollständige Kontrolle über die Daten zu fast jedem Aspekt von Huobis Geschäft.

Der gefährlichste Aspekt dieses Verstoßes ist wohl der Schreibzugriff auf das CDN und die Website von Huobi. Das Unternehmen gibt viel Geld für Tests aus, um sicherzustellen, dass Black-Hat-Hacker keinen Schreibzugriff auf die Infrastruktur erhalten. Es ist frustrierend, dass Huobi denselben Zugang preisgibt.

Sobald ein Angreifer in ein CDN schreiben kann, ist es leicht, Möglichkeiten zu finden, schädliche Skripte einzuschleusen. Sobald ein CDN kompromittiert ist, können auch alle damit verknüpften Websites kompromittiert sein. Nehmen Sie als Beispiel das Login-Portal von Huobi.

Die US-Anmeldeseite von Huobi lädt Ressourcen von mindestens fünf verschiedenen CDNs. Konzentrieren wir uns auf den roten Teil oben. Einer der fünf ist offensichtlich ein Bucket, huobicfg.s3.amazonaws, da die URL die Zeichenfolge „s3.amazonaws“ enthält.

Aber auch die anderen vier entsprechen kompromittierten Buckets. Ich konnte Cloudfront dazu bringen, ausführliche Antwortheader für ungültige Anfragen zu generieren. Der Header zeigt, dass ein Teil der hbfile.net-Domäne von Cloudfront über AmazonS3 bereitgestellt wird.

In diesem Fall fungiert Cloudfront als Mittelsmann und leitet hbfile.com-Anfragen an den S3-Bucket weiter. Ich habe vier der fünf CDNs in der Liste der kompromittierten Buckets gefunden.

Ich kann Dateien auf allen CDNs schreiben und löschen.

Im Allgemeinen sind kompromittierte CDNs und Websites für Verbraucher schwer zu erkennen. Aus der Sicht des Nutzers besucht er eine vertrauenswürdige Website. Benutzer können nicht erkennen, ob auf einem CDN gespeicherte Dateien geändert wurden.

Mit Anti-Malware-Software kann die Ausführung bestimmter bösartiger Skripts zugelassen werden, da sie von der richtigen Quelle bereitgestellt werden. Für Black-Hat-Hacker ist die Kompromittierung eines CDN eine der effektivsten Möglichkeiten, Code oder Malware in eine Website einzuschleusen.

Huobi machte es böswilligen Benutzern leicht, ihr CDN und ihre Website zu übernehmen. Soweit mir bekannt ist, ist jede vom Unternehmen betriebene Login-Seite von dieser Schwachstelle betroffen.

Zwei Jahre lang riskiert jeder Benutzer, der sich auf der Website oder App von Huobi anmeldet, den Verlust seines Kontos.

Der Verstoß wirft auch Datenschutzbedenken auf. Mit den durchgesickerten Zugangsdaten von Huobi konnte ich auf CRM-Berichte (Customer Relationship Management) mit Benutzerinformationen zugreifen.

Die Berichte, die ich gefunden habe, enthielten Kontaktinformationen und Kontostände von „Kryptowalen“. Wale sind wohlhabende Nutzer mit großen Mengen an Kryptowährungen, und Huobi ist eindeutig daran interessiert, Beziehungen zu ihnen aufzubauen.

Das Unternehmen scheint diese Benutzer nach ihrem Fähigkeitsniveau einzustufen. Benutzer mit größerem Markteinfluss werden höher eingestuft.

Insgesamt hat Huobi die Kontaktinformationen und Kontoinformationen von 4.960 Benutzern preisgegeben.

Ein weiterer Datensatz, der durch das Huobi-Leak enthüllt wurde. Ist eine Datenbank für außerbörsliche (OTC) Transaktionen.

Im entpackten Zustand übersteigt die Datenbanksicherung mehr als 2 TB und scheint alle OTC-Transaktionen zu enthalten, die Huobi seit 2017 verarbeitet hat. Dies könnte für viele Händler Anlass zur Sorge geben, da einer der Vorteile des außerbörslichen Handels die erhöhte Privatsphäre ist.

Einige OTC-Geschäfte werden unten hervorgehoben. Wer OTC-Handel auf Huobi betreibt, hat seit 2017 solche Informationslecks erlebt.

Im Screenshot oben sehen Sie das Benutzerkonto, die Transaktionsdetails und die IP-Adresse des Händlers. Die komplette Datenbank enthält zig Millionen solcher Transaktionen.

Es gibt auch Notizen in der Datenbank, die uns einen Einblick geben, wie Huobi seine OTC-Plattform hinter den Kulissen verwaltet.

Das Dokument beschreibt die Infrastruktur von Huobi

Huobi hat Informationen über sich selbst durchsickern lassen. Der Anhang zeigt das Innenleben seiner Produktionsinfrastruktur. Software-Stacks, Cloud-Dienste, lokale Server und andere sensible Details werden aufgelistet.

Diese Dateien sind nun, wie auch andere von Huobi durchgesickerte Daten, sicher.

Eines der einzigartigsten CDNs, die von der Huobi-Verletzung betroffen sind, ist das Utopo Blockchain NFT. Ein böswilliger Benutzer könnte die JSON-Datei im CDN ändern, um die NFT zu bearbeiten.

NFTs sind Links zu JSON-Dateien auf der Blockchain. Wenn JSON-Dateien geändert werden, ändern sie die Eigenschaften des NFT. In diesem Fall sind alle NFTs bearbeitbar, auch wenn ich keine Änderungen vorgenommen habe.

Die Sicherheitsrisiken rund um NFTs werden noch untersucht. In einigen Fällen können modifizierte NFTs verwendet werden, um Schadcode in Browser, Anwendungen oder Spiele einzuschleusen. Nichts deutet darauf hin, dass hier etwas passiert ist.

Zeitleiste

Hier ist die vollständige Zeitleiste der Ereignisse:

Letztendlich widerrief Huobi die Zugangsdaten und sicherte seinen Cloud-Speicher.

Huobi-Benutzer konnten knapp entkommen.

Leider kann ich in diesem Fall nicht den Schluss ziehen, dass Huobi seine Arbeit gut gemacht hat. Es war schon schlimm genug, seine eigenen Amazon-Zugangsdaten preiszugeben, aber es dauerte Monate, bis eine Antwort einging, und selbst dann entschied sich Huobi dafür, die Zugangsdaten online zu lassen.