Divulgación de sombrero blanco: Huobi ha filtrado información de transacciones OTC, información de cuentas grandes, información de clientes, estructura técnica interna, etc. a gran escala en 2021

Recientemente, un usuario recibió un correo electrónico de sombrero blanco que decía:

Hola, mi nombre es Aarón. Le escribo para informarle que parte de su información personal se ha hecho pública en Internet. Informé el problema y me aseguré de que se solucionara. Tu información ya no está en línea.

El intercambio de criptomonedas Huobi filtró accidentalmente un "informe de ballenas" en una reciente violación de datos. Estos informes contienen el nombre, número de teléfono, dirección y dirección de correo electrónico que proporcionó a Huobi cuando se registró. También tienen saldos de billetera e información sobre sus activos.

phillips.technology es el sitio web personal del hacker de sombrero blanco, periodista ciudadano y defensor del consumidor Aaron Phillips. Aaron Phillips es un profesional estadounidense con 4 años de experiencia en el campo de la ciberseguridad y 20 años de experiencia en TI. Su trabajo se centra en proteger a los consumidores de violaciones de datos y de seguridad, y su trabajo ha aparecido en algunos de los sitios de noticias sobre tecnología más populares del mundo. Sus áreas de enfoque incluyen seguridad de aplicaciones web y móviles, seguridad en la nube y pruebas de penetración de redes.

Huobi respondió:

El incidente ocurrió el 22 de junio de 2021 debido a operaciones irregulares por parte del personal relevante del depósito S3 en el entorno de prueba del sitio japonés. La información relevante del usuario fue completamente aislada el 8 de octubre de 2022. Después de que el equipo de White Hat descubrió este incidente, el equipo de seguridad de Huobi lo resolvió lo antes posible el 21 de junio de 2023 (hace 10 días) e inmediatamente cerró el acceso a los archivos relevantes. La vulnerabilidad actual ha sido reparada y todo lo relevante. La información del usuario ha sido eliminada. Gracias al equipo de sombrero blanco por su contribución a la seguridad de Huobi.

El texto completo es el siguiente:

Huobi solucionó silenciosamente una violación de datos que podría haber permitido acceder al almacenamiento en la nube de la empresa. Huobi, sin darse cuenta, compartió un conjunto de credenciales que otorgan acceso de escritura a todos sus depósitos S3 de Amazon Web Services.

La empresa utiliza depósitos S3 para alojar su CDN y su sitio web. Cualquiera puede utilizar estas credenciales para modificar contenido en los dominios huobi.com y hbfile.net, entre otros. La filtración de las credenciales de Huobi también provocó la exposición de datos de usuarios y documentos internos.

Los atacantes que aprovechen el error de Huobi tendrán la oportunidad de realizar el mayor robo de criptomonedas de la historia.

Si Huobi no hubiera tomado medidas, esta vulnerabilidad podría haberse aprovechado para robar cuentas y activos de usuarios. La empresa eliminó la cuenta comprometida y sus usuarios ya no corren riesgo.

Cuando revisé un depósito S3 de Amazon Web Services (AWS) abierto, descubrí un archivo confidencial que contenía credenciales de AWS. Después de investigar un poco, descubrí que las credenciales eran genuinas y que la cuenta pertenecía a Huobi.

Aunque Huobi eliminó las cuentas expuestas en la infracción, la empresa aún no ha eliminado el archivo. Las credenciales todavía están disponibles en línea para que cualquiera pueda descargarlas:

Huobi publicó accidentalmente el documento en junio de 2021, según metadatos distribuidos por Amazon.

Esto significa que la empresa ha estado compartiendo credenciales de producción de AWS durante aproximadamente dos años.

Todos los que descargan las credenciales tienen acceso completo al depósito de almacenamiento en la nube de Huobi. Puedo cargar y eliminar archivos en todos los depósitos S3 de Huobi. Esto es particularmente peligroso porque Huobi hace un uso intensivo de cubos.

Estas credenciales se pueden utilizar para modificar y controlar los numerosos dominios de Huobi. Los atacantes pueden explotar la infraestructura de Huobi para robar cuentas y activos de usuarios, difundir malware e infectar dispositivos móviles.

No hay indicios de que alguien haya aprovechado esta vulnerabilidad para atacar a Huobi.

Acceso de escritura a depósitos críticos de S3

Para evaluar el impacto de esta infracción, primero enumeré todo lo que pude. Encontré que había 315 en total, muchos de ellos privados.

Algunos de estos depósitos comparten nombres con sitios web y CDN operados por Huobi. Por ejemplo, es una CDN que aloja contenido utilizado por muchos sitios web y aplicaciones de Huobi.

A continuación, intento escribir en el depósito. Puedo escribir y eliminar archivos en los 315 depósitos. En la captura de pantalla siguiente, subí un archivo a la CDN utilizada por Huobi para almacenar y distribuir aplicaciones de Android.

Es posible que un usuario malintencionado haya subido una versión modificada de la aplicación Huobi para Android.

Amazon utiliza roles de IAM para controlar el acceso a sus servicios en la nube. No es raro que grandes empresas como Huobi creen una función única para administrar su almacenamiento en la nube. Pero este enfoque es un mal enfoque.

Compartir una función entre varios equipos puede proporcionar a los atacantes un acceso significativo. En este caso, puedo leer informes confidenciales, descargar copias de seguridad de bases de datos y modificar contenido en la CDN y el sitio web. Tengo control total sobre los datos de casi todos los aspectos del negocio de Huobi.

Podría decirse que el aspecto más peligroso de esta infracción es el acceso de escritura que otorgó a la CDN y al sitio web de Huobi. La empresa gasta mucho dinero en pruebas para garantizar que los piratas informáticos de sombrero negro no puedan obtener acceso de escritura a la infraestructura. Es frustrante que Huobi filtre el mismo acceso.

Una vez que un atacante puede escribir en una CDN, es fácil encontrar oportunidades para inyectar scripts maliciosos. Una vez que una CDN se ve comprometida, todos los sitios web vinculados a ella también pueden verse comprometidos. Tomemos como ejemplo el portal de inicio de sesión de Huobi.

La página de inicio de sesión de Huobi en EE. UU. carga recursos de al menos cinco CDN diferentes. Centrémonos en la parte roja de arriba. Uno de los cinco es obviamente un depósito, huobicfg.s3.amazonaws, porque la URL contiene la cadena "s3.amazonaws".

Pero los otros cuatro también corresponden a depósitos comprometidos. Pude hacer que Cloudfront generara encabezados de respuesta detallados para solicitudes no válidas. El encabezado muestra que Cloudfront proporciona parte del dominio hbfile.net a través de AmazonS3.

En este caso, Cloudfront actúa como intermediario, redirigiendo las solicitudes de hbfile.com al depósito de S3. Encontré cuatro de las cinco CDN en la lista de depósitos comprometidos.

Puedo escribir y eliminar archivos en todas las CDN.

Generalmente, los CDN y los sitios web comprometidos son difíciles de detectar para los consumidores. Desde la perspectiva del usuario, está visitando un sitio web confiable. Los usuarios no pueden saber si los archivos almacenados en una CDN han sido modificados.

Con el software antimalware, es posible que se permita la ejecución de ciertos scripts maliciosos porque provienen de la fuente correcta. Para los hackers de sombrero negro, comprometer una CDN es una de las formas más efectivas de inyectar código o malware en un sitio web.

Huobi facilitó a los usuarios malintencionados el control de su CDN y su sitio web. Hasta donde yo sé, todas las páginas de inicio de sesión operadas por la empresa se ven afectadas por esta vulnerabilidad.

Durante dos años, todo usuario que inicie sesión en el sitio web o la aplicación de Huobi corre el riesgo de perder su cuenta.

La violación también plantea preocupaciones sobre la privacidad. Utilizando las credenciales filtradas de Huobi, pude acceder a informes de gestión de relaciones con el cliente (CRM) que contienen información del usuario.

Los informes que encontré tenían información de contacto y saldos de cuentas de "criptoballenas". Las ballenas son usuarios adinerados con grandes cantidades de criptomonedas, y Huobi está claramente interesado en establecer relaciones con ellas.

La empresa parece clasificar a estos usuarios según su nivel de habilidad. Los usuarios con mayor influencia en el mercado tendrán una clasificación más alta.

En total, Huobi filtró la información de contacto y la información de cuentas de 4.960 usuarios.

Otro conjunto de datos expuestos por la filtración de Huobi. Es una base de datos para transacciones extrabursátiles (OTC).

Cuando se descomprime, la copia de seguridad de la base de datos supera los 2 TB y parece contener todas las transacciones OTC que Huobi ha procesado desde 2017. Esto puede ser una preocupación para muchos comerciantes, ya que uno de los beneficios del comercio OTC es una mayor privacidad.

Algunas operaciones OTC se destacan a continuación. Cualquiera que realice operaciones OTC en Huobi ha experimentado este tipo de filtraciones de información desde 2017.

En la captura de pantalla anterior, puede ver la cuenta de usuario, los detalles de la transacción y la dirección IP del comerciante. La base de datos completa contiene decenas de millones de transacciones de este tipo.

También hay notas en la base de datos que nos dan una idea de cómo Huobi gestiona su plataforma OTC entre bastidores.

El documento detalla la infraestructura de Huobi

Huobi filtró información sobre sí mismo. El adjunto muestra el funcionamiento interno de su infraestructura de producción. Se enumeran pilas de software, servicios en la nube, servidores locales y otros detalles confidenciales.

Estos archivos, al igual que otros datos filtrados de Huobi, ahora están a salvo.

Una de las CDN más singulares afectadas por la violación de Huobi es Utopo Blockchain NFT. Un usuario malintencionado podría alterar el archivo JSON en la CDN para editar el NFT.

Los NFT son enlaces a archivos JSON en blockchain. Cuando se modifican archivos JSON, cambian las características del NFT. En este caso, todos los NFT son editables, aunque no hice ningún cambio.

Aún se están explorando los riesgos de seguridad que rodean a las NFT. En algunos casos, se pueden utilizar NFT modificados para inyectar código malicioso en navegadores, aplicaciones o juegos. No hay nada que sugiera que eso haya sucedido aquí.

línea de tiempo

Aquí está la cronología completa de los eventos:

Al final, Huobi revocó las credenciales y aseguró su almacenamiento en la nube.

Los usuarios de Huobi escaparon por poco.

Desafortunadamente, en este caso, no puedo concluir que Huobi haya hecho bien su trabajo. Ya fue bastante malo filtrar sus propias credenciales de Amazon, pero tomó meses obtener una respuesta, e incluso entonces, Huobi decidió dejar las credenciales en línea.