Recentemente, un utente ha ricevuto un'e-mail dal cappello bianco, in cui si affermava:

Ciao, mi chiamo Aaron. Ti scrivo per informarti che alcuni tuoi dati personali sono stati resi pubblici su Internet. Ho segnalato il problema e mi sono assicurato che fosse risolto. Le tue informazioni non sono più online.

L'exchange di criptovalute Huobi ha accidentalmente fatto trapelare un "rapporto sulle balene" in una recente violazione dei dati. Questi rapporti contengono il nome, il numero di telefono, l'indirizzo e l'indirizzo e-mail che hai fornito a Huobi al momento della registrazione. Hanno anche saldi di portafoglio e informazioni sulle tue risorse.

phillips.technology è il sito web personale di Aaron Phillips, hacker dal cappello bianco, giornalista cittadino e difensore dei consumatori. Aaron Phillips è un professionista americano con 4 anni di esperienza nel campo della sicurezza informatica e 20 anni di esperienza IT. Il suo lavoro si concentra sulla protezione dei consumatori dalle violazioni dei dati e della sicurezza, e il suo lavoro è stato presentato su alcuni dei siti di notizie tecnologiche più famosi al mondo. Le sue aree di interesse includono la sicurezza delle applicazioni web e mobili, la sicurezza del cloud e i test di penetrazione della rete.

Huobi ha risposto:

L'incidente si è verificato il 22 giugno 2021 a causa di operazioni irregolari da parte del personale interessato del bucket S3 nell'ambiente di test del sito giapponese. Le informazioni utente rilevanti sono state completamente isolate l'8 ottobre 2022. Dopo che questo incidente è stato scoperto dal team del cappello bianco, il team di sicurezza di Huobi se ne è occupato il prima possibile il 21 giugno 2023 (10 giorni fa) e ha immediatamente chiuso l'accesso ai file pertinenti. L'attuale vulnerabilità è stata riparata e tutti i casi rilevanti le informazioni dell'utente sono state cancellate. Grazie al team dal cappello bianco per il loro contributo alla sicurezza di Huobi.

Il testo completo è il seguente:

Huobi ha risolto silenziosamente una violazione dei dati che avrebbe potuto consentire l’accesso allo spazio di archiviazione cloud dell’azienda. Huobi ha inavvertitamente condiviso una serie di credenziali che garantiscono l'accesso in scrittura a tutti i suoi bucket Amazon Web Services S3.

L'azienda utilizza i bucket S3 per ospitare la propria CDN e il sito Web. Chiunque può utilizzare queste credenziali per modificare, tra gli altri, i contenuti sui domini huobi.com e hbfile.net. La fuga delle credenziali di Huobi ha portato anche all’esposizione dei dati degli utenti e dei documenti interni.

Gli aggressori che sfruttano il bug di Huobi avranno l'opportunità di compiere il più grande furto di criptovaluta della storia.

Se Huobi non avesse preso provvedimenti, la vulnerabilità avrebbe potuto essere sfruttata per rubare account e risorse degli utenti. L'azienda ha rimosso l'account compromesso e i suoi utenti non sono più a rischio.

Quando ho controllato un bucket S3 di Amazon Web Services (AWS) aperto, ho scoperto un file sensibile contenente credenziali AWS. Dopo alcune ricerche, ho scoperto che le credenziali erano autentiche e che l'account apparteneva a Huobi.

Sebbene Huobi abbia cancellato gli account esposti nella violazione, la società non ha ancora cancellato il file. Le credenziali sono ancora disponibili online per essere scaricate da chiunque:

Huobi ha rilasciato accidentalmente il documento nel giugno 2021, secondo i metadati distribuiti da Amazon.

Ciò significa che l’azienda condivide le credenziali AWS di produzione da circa due anni.

Chiunque scarichi le credenziali ha pieno accesso al bucket di archiviazione cloud di Huobi. Sono in grado di caricare ed eliminare file in tutti i bucket S3 di Huobi. Ciò è particolarmente pericoloso perché Huobi fa un uso massiccio di secchi.

Queste credenziali possono essere utilizzate per modificare e controllare i numerosi domini di Huobi. Gli aggressori possono sfruttare l'infrastruttura di Huobi per rubare account e risorse degli utenti, diffondere malware e infettare i dispositivi mobili.

Non vi è alcuna indicazione che qualcuno abbia sfruttato questa vulnerabilità per attaccare Huobi.

Accesso in scrittura ai bucket S3 critici

Per valutare l’impatto di questa violazione, ho prima elencato tutto quello che potevo. Ho scoperto che ce n'erano 315 in totale, molti dei quali privati.

Alcuni di questi bucket condividono nomi con siti Web e CDN gestiti da Huobi. Ad esempio, è un CDN che ospita contenuti utilizzati da molti siti Web e app Huobi.

Successivamente, provo a scrivere nel bucket. Sono in grado di scrivere ed eliminare file in tutti i 315 bucket. Nello screenshot qui sotto, ho caricato un file sul CDN utilizzato da Huobi per archiviare e distribuire app Android.

Un utente malintenzionato potrebbe aver caricato una versione modificata dell'app Huobi per Android.

Amazon utilizza i ruoli IAM per controllare l'accesso ai suoi servizi cloud. Non è raro che grandi aziende come Huobi creino un unico ruolo per gestire il proprio cloud storage. Ma questo approccio è pessimo.

La condivisione di un ruolo tra più team può fornire agli aggressori un accesso significativo. In questo caso, posso leggere rapporti riservati, scaricare backup di database e modificare i contenuti sulla CDN e sul sito web. Ho il controllo completo sui dati su quasi ogni aspetto dell'attività di Huobi.

Probabilmente, l’aspetto più pericoloso di questa violazione è l’accesso in scrittura concesso al CDN e al sito web di Huobi. L'azienda spende molti soldi in test per garantire che gli hacker black hat non possano ottenere l'accesso in scrittura all'infrastruttura. È frustrante che Huobi perda lo stesso accesso.

Una volta che un utente malintenzionato riesce a scrivere su una CDN, è facile trovare opportunità per iniettare script dannosi. Una volta compromesso un CDN, anche tutti i siti Web ad esso collegati potrebbero essere compromessi. Prendi come esempio il portale di accesso di Huobi.

La pagina di accesso statunitense di Huobi carica risorse da almeno cinque diversi CDN. Concentriamoci sulla parte rossa sopra. Uno dei cinque è ovviamente un bucket, huobicfg.s3.amazonaws, perché l'URL contiene la stringa "s3.amazonaws".

Ma anche gli altri quattro corrispondono a secchi compromessi. Sono riuscito a fare in modo che Cloudfront generasse intestazioni di risposta dettagliate per richieste non valide. L'intestazione mostra che parte del dominio hbfile.net è servito da Cloudfront tramite AmazonS3.

In questo caso, Cloudfront funge da intermediario, reindirizzando le richieste hbfile.com al bucket S3. Ho trovato quattro dei cinque CDN nell'elenco dei bucket compromessi.

Posso scrivere ed eliminare file su tutti i CDN.

In genere, i CDN e i siti Web compromessi sono difficili da rilevare per i consumatori. Dal punto di vista dell'utente, sta visitando un sito Web affidabile. Gli utenti non possono sapere se i file archiviati su una CDN sono stati modificati.

Con il software anti-malware, è possibile che alcuni script dannosi vengano eseguiti perché provengono dalla fonte corretta. Per gli hacker black hat, compromettere una CDN è uno dei modi più efficaci per inserire codice o malware in un sito web.

Huobi ha reso facile per gli utenti malintenzionati assumere il controllo della loro CDN e del loro sito web. Per quanto ne so, ogni pagina di accesso gestita dall'azienda è interessata da questa vulnerabilità.

Per due anni, ogni utente che accede al sito web o all’app di Huobi rischia di perdere il proprio account.

La violazione solleva anche preoccupazioni sulla privacy. Utilizzando le credenziali trapelate di Huobi, sono stato in grado di accedere ai report CRM (Customer Relationship Management) contenenti informazioni sull'utente.

I rapporti che ho trovato contenevano informazioni di contatto e saldi dei conti di "cripto balene". Le balene sono utenti facoltosi con grandi quantità di criptovaluta e Huobi è chiaramente interessato a costruire relazioni con loro.

Sembra che l'azienda classifichi questi utenti in base al loro livello di abilità. Gli utenti con maggiore influenza sul mercato verranno classificati più in alto.

In totale, Huobi ha fatto trapelare informazioni di contatto e informazioni sull'account di 4.960 utenti.

Un'altra serie di dati esposti dalla fuga di Huobi. È un database per le transazioni over-the-counter (OTC).

Una volta decompresso, il backup del database supera i 2 TB e sembra contenere tutte le transazioni OTC elaborate da Huobi dal 2017. Ciò potrebbe rappresentare una preoccupazione per molti trader, poiché uno dei vantaggi del trading OTC è la maggiore privacy.

Alcune operazioni OTC sono evidenziate di seguito. Chiunque faccia trading OTC su Huobi ha subito tali fughe di informazioni dal 2017.

Nello screenshot qui sopra, puoi vedere l'account utente, i dettagli della transazione e l'indirizzo IP del trader. Il database completo contiene decine di milioni di tali transazioni.

Ci sono anche note nel database che ci danno un'idea di come Huobi gestisce la sua piattaforma OTC dietro le quinte.

Dettagli del documento sull'infrastruttura di Huobi

Huobi ha fatto trapelare informazioni su se stesso. L'allegato mostra il funzionamento interno della sua infrastruttura produttiva. Vengono elencati stack software, servizi cloud, server locali e altri dettagli sensibili.

Questi file, come altri dati trapelati da Huobi, ora sono al sicuro.

Uno dei CDN più singolari colpiti dalla violazione di Huobi è Utopo Blockchain NFT. Un utente malintenzionato potrebbe alterare il file JSON sulla CDN per modificare l'NFT.

Gli NFT sono collegamenti a file JSON sulla blockchain. Quando i file JSON vengono modificati, cambiano le caratteristiche dell'NFT. In questo caso, tutti gli NFT sono modificabili, anche se non ho apportato alcuna modifica.

I rischi per la sicurezza legati agli NFT sono ancora in fase di studio. In alcuni casi, gli NFT modificati possono essere utilizzati per iniettare codice dannoso in browser, applicazioni o giochi. Non c'è niente che suggerisca che sia successo qui.

sequenza temporale

Ecco la cronologia completa degli eventi:

Alla fine, Huobi ha revocato le credenziali e ha protetto il proprio spazio di archiviazione nel cloud.

Gli utenti di Huobi sono riusciti a scampare per un pelo.

Purtroppo, in questo caso, non posso concludere che Huobi abbia svolto bene il proprio lavoro. È stato già abbastanza grave far trapelare le proprie credenziali Amazon, ma ci sono voluti mesi per ottenere una risposta e, anche in quel caso, Huobi ha scelto di lasciare le credenziali online.