白帽披露：火币2021年曾大范围泄露OTC交易信息、大户信息、客户信息、内部技术架构等

王哥爱吃香菜 · 2023-07-01T07:33:25.000Z

近期有用户收到白帽邮件，内容称：嗨，我叫亚伦。我写邮件是想告诉您，您的一些个人信息已在互联网上公开。我报告了该问题并确保它已修复。您的信息不再在线。加密货币交易所火币在最近的一次数据泄露中意外泄露了“鲸鱼报告”。这些报告包含您注册时向火币提供的姓名、电话号码、地址和电子邮件地址。他们还有钱包余额和有关您资产的信息。 phillips.technology是白帽黑客、公民记者和消费者倡导者Aaron Phillips的个人网站。Aaron Phillips 是一位拥有4年网络安全领域经验和20年IT经验的美国专业人士。他的工作主要是保护消费者免受数据泄露和安全漏洞的影响，他的工作成果已经在世界上一些最受欢迎的科技新闻网站上被报道。他的专注领域包括移动和网络应用安全、云安全和网络渗透测试。 Huobi 回应：事件发生于2021年6月22日日本站测试环境S3桶相关人员不规范操作导致，相关用户信息于2022年10月8日已经完全隔离。本次事件由白帽团队发现后，火币安全团队2023年6月21日（10天前）已第一时间进行处理，立即关闭相关文件访问权限，当前漏洞已修复，所有相关用户信息已经删除。感谢白帽团队对于火币安全做出的贡献。全文如下：火币悄然修复了一个数据泄露事件，该泄露事件可能导致该公司的云存储被访问。火币无意中共享了一组凭证，授予其所有 Amazon Web Services S3 存储桶写入权限。该公司使用 S3 存储桶来托管其 CDN 和网站。任何人都可以使用这些凭据来修改 huobi.com 和 hbfile.net 域等上的内容。火币凭证泄露还导致用户数据和内部文件曝光。利用火币的错误的攻击者将有机会进行历史上最大的加密货币盗窃。如果火币没有采取行动，这一漏洞可能会被用来窃取用户账户和资产。该公司删除了受感染的帐户，其用户不再面临风险。在我检查开放的 Amazon Web Services (AWS) S3 存储桶时，我发现了一个包含 AWS 凭证的敏感文件。经过一番研究，我发现凭证是真实的，并且该帐户属于火币。尽管火币删除了泄露事件中暴露的账户，但该公司尚未删除该文件。这些凭证仍然可以在线供任何人下载：根据亚马逊分配的元数据，火币于 2021 年 6 月意外发布了该文件。这意味着该公司在大约两年的时间里一直在共享生产 AWS 凭证。下载凭证的每个人都可以完全访问火币的云存储桶。我能够上传和删除火币所有 S3 存储桶中的文件。这是特别危险的，因为火币大量使用了存储桶。这些凭证可能被用来修改和控制火币的许多域名。攻击者可能会利用火币的基础设施窃取用户帐户和资产、传播恶意软件并感染移动设备。没有迹象表明有人利用这一漏洞对火币进行攻击。对关键S3存储桶的写访问权限为了评估这次违规行为的影响，我首先列出了所有可以列出的内容。我发现总共有 315 个，其中许多是私人的。其中一些存储桶与火币运营的网站和 CDN 共享名称。例如，是一个 CDN，托管许多火币网站和应用程序使用的内容。接下来，我尝试写入存储桶。我能够在所有 315 个存储桶中写入和删除文件。在下面的屏幕截图中，我将一个文件上传到火币用来存储和分发 Android 应用程序的 CDN。恶意用户可能上传了火币 Android 应用程序的修改版本。 Amazon 使用 IAM 角色来控制对其云服务的访问。对于火币这样的大公司来说，创建单一角色来管理其云存储的情况并不罕见。但这种方法是一种糟糕的方法。在多个团队中共享一个角色可以为攻击者提供大量访问权限。在这种情况下，我可以阅读机密报告、下载数据库备份以及修改 CDN 和网站上的内容。我完全掌控了火币业务几乎各个方面的数据。可以说，这次违规行为最危险的方面是它授予了火币 CDN 和网站的写入权限。公司花费大量资金进行测试，以确保黑帽黑客无法获得对该基础设施的写入访问权限。令人沮丧的是，火币竟然会泄露同样的访问权限。一旦攻击者可以写入 CDN，就很容易找到注入恶意脚本的机会。一旦 CDN 受到损害，链接到它的所有网站也可能受到损害。以火币的登录门户为例。火币的美国登录页面从至少五个不同的 CDN 加载资源。让我们重点关注上面红色的部分。这五个中的一个显然是一个存储桶，huobicfg.s3.amazonaws，因为 URL 包含字符串“s3.amazonaws”。但其他四个也对应于受损的存储桶。我能够让 Cloudfront 为无效请求生成详细的响应标头。标头显示 hbfile.net 域的部分内容由 Cloudfront 通过 AmazonS3 提供服务。在这种情况下，Cloudfront 充当中间人，将 hbfile.com 请求重定向到 S3 存储桶。我在受损存储桶列表中找到了五个 CDN 中的四个。我可以在所有 CDN 上写入和删除文件。一般来说，消费者很难检测到受损的 CDN 和网站。从用户的角度来看，他们正在访问一个可信的网站。用户无法判断 CDN 上存储的文件是否已被更改。对于反恶意软件，某些恶意脚本可能会被允许运行，因为它们是从正确的源提供的。对于黑帽黑客来说，破坏 CDN 是将代码或恶意软件注入网站的最有效方法之一。火币让恶意用户很容易接管他们的 CDN 和网站。据我所知，该公司运营的每个登录页面都会受到此漏洞的影响。两年来，每个登录火币网站或应用程序的用户都可能面临失去账户的风险。此次违规行为还涉及隐私问题。使用火币泄露的凭证，我能够访问包含用户信息的客户关系管理（CRM）报告。我发现的报告中有“加密鲸鱼”的联系信息和账户余额。鲸鱼是拥有大量加密货币的富裕用户，火币显然有兴趣与他们建立关系。该公司似乎根据这些用户的能力级别对他们进行排序。拥有更大影响市场能力的用户会获得更高的排名。火币总共泄露了 4,960名用户的联系方式和账户信息。火币泄露曝光的另一组数据。是场外交易(OTC)交易的数据库。解压后，数据库备份超过 2TB，似乎包含了火币自 2017 年以来处理的每笔 OTC 交易。这可能是许多交易者关心的问题，因为 OTC 交易的好处之一就是增加隐私。下面重点介绍了一些场外交易。自 2017 年以来，任何在火币进行场外交易的人都曾遭遇过此类信息泄露。在上面的屏幕截图中，可以看到用户帐户、交易详细信息和交易者的 IP 地址。完整的数据库包含数千万个这样的交易。数据库中还有一些注释，可以让我们了解火币如何在幕后管理其场外交易平台。文档详细介绍了火币的基础设施火币泄露了有关自己的信息。附件显示了其生产基础设施的内部运作情况。软件堆栈、云服务、内部服务器和其他敏感细节都已列出。这些文件与火币泄露的其他数据一样，现在都是安全的。受火币违规影响的最独特的 CDN 之一是 Utopo 区块链 NFT。恶意用户可能会更改 CDN 上的 JSON 文件以编辑 NFT。 NFT 是区块链上 JSON 文件的链接。当 JSON 文件被修改时，它们会改变 NFT 的特征。在这种情况下，所有 NFT 都可以编辑，尽管我没有做任何更改。围绕 NFT 的安全风险仍在探索中。在某些情况下，可能会使用修改后的 NFT 将恶意代码注入浏览器、应用程序或游戏中。没有任何迹象表明这里发生过。时间线这是事件的完整时间表：最终，火币撤销了这些凭证并保护了他们的云存储。火币用户侥幸逃过一劫。不幸的是，在这种情况下，我不能断定火币已经很好地完成了他们的工作。泄露自己的亚马逊凭证已经够糟糕的了，但花了几个月的时间才得到回应，即便如此，火币还是选择将凭证留在网上。

Niedawno użytkownik otrzymał e-mail od firmy White Hat, w którym stwierdzono:
Cześć, mam na imię Aaron. Piszę, aby poinformować Cię, że niektóre Twoje dane osobowe zostały upublicznione w Internecie. Zgłosiłem problem i upewniłem się, że został rozwiązany. Twoje informacje nie są już dostępne online.
Giełda kryptowalut Huobi przypadkowo ujawniła „raport wieloryba” w wyniku niedawnego naruszenia bezpieczeństwa danych. Raporty te zawierają imię i nazwisko, numer telefonu, adres i adres e-mail, które podałeś Huobi podczas rejestracji. Mają także salda portfela i informacje o Twoich aktywach.
phillips.technology to osobista witryna internetowa hakera w białym kapeluszu, dziennikarza obywatelskiego i rzecznika konsumentów Aarona Phillipsa. Aaron Phillips to amerykański profesjonalista z 4-letnim doświadczeniem w dziedzinie cyberbezpieczeństwa i 20-letnim doświadczeniem w IT. Jego praca koncentruje się na ochronie konsumentów przed naruszeniami danych i naruszeniami bezpieczeństwa, a jego prace pojawiały się w niektórych z najpopularniejszych witryn z wiadomościami technologicznymi na świecie. Jego obszary zainteresowań obejmują bezpieczeństwo aplikacji mobilnych i internetowych, bezpieczeństwo w chmurze oraz testy penetracyjne sieci.
Huobi odpowiedział:
Do incydentu doszło 22 czerwca 2021 r. w związku z nieprawidłowymi operacjami odpowiedniego personelu segmentu S3 w środowisku testowym japońskiej witryny. Odpowiednie informacje o użytkowniku zostały całkowicie odizolowane 8 października 2022 r. Po wykryciu tego incydentu przez zespół White Hat zespół bezpieczeństwa Huobi zajął się nim tak szybko, jak to możliwe, 21 czerwca 2023 r. (10 dni temu) i natychmiast zamknął dostęp do odpowiednich plików. Obecna luka została naprawiona i wszystkie istotne informacje o użytkowniku zostały usunięte. Dziękujemy zespołowi White Hat za ich wkład w bezpieczeństwo Huobi.
Pełny tekst brzmi następująco:
Huobi po cichu naprawił naruszenie bezpieczeństwa danych, które mogło umożliwić dostęp do firmowego magazynu w chmurze. Huobi niechcący udostępnił zestaw danych uwierzytelniających zapewniających dostęp do zapisu do wszystkich segmentów Amazon Web Services S3.
Firma używa segmentów S3 do hostowania swojej sieci CDN i strony internetowej. Każdy może użyć tych danych uwierzytelniających, między innymi do modyfikowania treści w domenach huobi.com i hbfile.net. Wyciek danych uwierzytelniających Huobi doprowadził również do ujawnienia danych użytkownika i dokumentów wewnętrznych.
Atakujący, którzy wykorzystają błąd Huobiego, będą mieli okazję dokonać największej kradzieży kryptowalut w historii.
Gdyby Huobi nie podjął działań, luka mogłaby zostać wykorzystana do kradzieży kont użytkowników i zasobów. Firma usunęła zhakowane konto, a jego użytkownicy nie są już zagrożeni.
Kiedy sprawdziłem otwarty zasobnik Amazon Web Services (AWS) S3, odkryłem wrażliwy plik zawierający dane uwierzytelniające AWS. Po krótkich poszukiwaniach dowiedziałem się, że dane uwierzytelniające były autentyczne, a konto należało do Huobiego.
Chociaż Huobi usunął konta ujawnione w wyniku naruszenia, firma nie usunęła jeszcze pliku. Dane uwierzytelniające są nadal dostępne online i każdy może je pobrać:
Według metadanych rozpowszechnianych przez Amazon Huobi przypadkowo opublikował dokument w czerwcu 2021 r.
Oznacza to, że firma udostępnia produkcyjne dane uwierzytelniające AWS od około dwóch lat.
Każdy, kto pobierze dane uwierzytelniające, ma pełny dostęp do przestrzeni dyskowej w chmurze Huobi. Mogę przesyłać i usuwać pliki we wszystkich segmentach S3 Huobi. Jest to szczególnie niebezpieczne, ponieważ Huobi intensywnie korzysta z wiader.
Te dane uwierzytelniające mogą służyć do modyfikowania i kontrolowania wielu domen Huobi. Atakujący mogą wykorzystywać infrastrukturę Huobi do kradzieży kont użytkowników i zasobów, rozprzestrzeniania złośliwego oprogramowania i infekowania urządzeń mobilnych.
Nic nie wskazuje na to, aby ktokolwiek wykorzystał tę lukę do ataku na Huobi.
Dostęp do zapisu do krytycznych segmentów S3
Aby ocenić wpływ tego naruszenia, najpierw wymieniłem wszystko, co mogłem. Okazało się, że było ich w sumie 315, wiele z nich było prywatnych.
Niektóre z tych segmentów mają takie same nazwy jak strony internetowe i sieci CDN obsługiwane przez Huobi. Na przykład jest to CDN, w którym znajdują się treści używane przez wiele witryn i aplikacji Huobi.
Następnie próbuję pisać do wiadra. Mogę zapisywać i usuwać pliki we wszystkich 315 segmentach. Na zrzucie ekranu poniżej przesłałem plik do CDN używanego przez Huobi do przechowywania i dystrybucji aplikacji na Androida.
Złośliwy użytkownik mógł przesłać zmodyfikowaną wersję aplikacji Huobi na Androida.
Amazon wykorzystuje role IAM do kontrolowania dostępu do swoich usług w chmurze. Nierzadko zdarza się, że duże firmy, takie jak Huobi, tworzą jedną rolę do zarządzania pamięcią masową w chmurze. Ale to podejście jest złe.
Dzielenie roli między wieloma zespołami może zapewnić atakującym znaczący dostęp. W takim przypadku mogę czytać poufne raporty, pobierać kopie zapasowe baz danych i modyfikować zawartość w CDN i na stronie internetowej. Mam pełną kontrolę nad danymi dotyczącymi niemal każdego aspektu działalności Huobi.
Prawdopodobnie najniebezpieczniejszym aspektem tego naruszenia jest dostęp do zapisu przyznany CDN i stronie internetowej Huobi. Firma wydaje dużo pieniędzy na testy, aby mieć pewność, że hakerzy nie będą mogli uzyskać dostępu do zapisu w infrastrukturze. To frustrujące, że Huobi miałby taki sam dostęp.
Gdy osoba atakująca będzie mogła pisać do sieci CDN, łatwo jest znaleźć możliwości wstrzyknięcia złośliwych skryptów. Gdy sieć CDN zostanie naruszona, wszystkie powiązane z nią witryny internetowe również mogą zostać naruszone. Weźmy jako przykład portal logowania Huobi.
Strona logowania Huobi w USA ładuje zasoby z co najmniej pięciu różnych sieci CDN. Skupmy się na czerwonej części powyżej. Jednym z pięciu jest oczywiście wiadro huobicfg.s3.amazonaws, ponieważ adres URL zawiera ciąg „s3.amazonaws”.
Ale pozostałe cztery również odpowiadają uszkodzonym wiadrom. Udało mi się zmusić Cloudfront do wygenerowania pełnych nagłówków odpowiedzi dla nieprawidłowych żądań. Nagłówek pokazuje, że część domeny hbfile.net jest obsługiwana przez Cloudfront za pośrednictwem AmazonS3.
W tym przypadku Cloudfront pełni rolę pośrednika, przekierowując żądania hbfile.com do segmentu S3. Na liście zainfekowanych zasobników znalazłem cztery z pięciu sieci CDN.
Mogę zapisywać i usuwać pliki we wszystkich sieciach CDN.
Ogólnie rzecz biorąc, zaatakowane sieci CDN i strony internetowe są trudne do wykrycia przez konsumentów. Z punktu widzenia użytkownika odwiedza on witrynę godną zaufania. Użytkownicy nie mogą stwierdzić, czy pliki przechowywane w sieci CDN zostały zmienione.
W przypadku oprogramowania chroniącego przed złośliwym oprogramowaniem niektóre złośliwe skrypty mogą zostać uruchomione, ponieważ są dostarczane z prawidłowego źródła. Dla hakerów typu black hat złamanie zabezpieczeń CDN jest jednym z najskuteczniejszych sposobów wstrzyknięcia kodu lub złośliwego oprogramowania do witryny internetowej.
Huobi ułatwił złośliwym użytkownikom przejęcie ich CDN i strony internetowej. O ile mi wiadomo, każda strona logowania obsługiwana przez firmę jest dotknięta tą luką.
Przez dwa lata każdy użytkownik logujący się do witryny lub aplikacji Huobi ryzykuje utratę konta.
Naruszenie budzi również obawy dotyczące prywatności. Korzystając z danych uwierzytelniających Huobi, które wyciekły, udało mi się uzyskać dostęp do raportów zarządzania relacjami z klientami (CRM) zawierających informacje o użytkownikach.
Raporty, które znalazłem, zawierały dane kontaktowe i salda kont „kryptowielorybów”. Wieloryby to zamożni użytkownicy dysponujący dużymi ilościami kryptowaluty, a Huobi jest wyraźnie zainteresowany budowaniem z nimi relacji.
Wygląda na to, że firma ocenia tych użytkowników na podstawie ich poziomu umiejętności. Użytkownicy o większym wpływie na rynek zostaną sklasyfikowani wyżej.
W sumie Huobi ujawnił dane kontaktowe i informacje o kontach 4960 użytkowników.
Kolejny zestaw danych ujawnionych w wyniku wycieku Huobi. Jest bazą danych transakcji pozagiełdowych (OTC).
Po rozpakowaniu kopia zapasowa bazy danych przekracza 2 TB i wydaje się, że zawiera każdą transakcję OTC przetworzoną przez Huobi od 2017 roku. Może to budzić obawy wielu traderów, ponieważ jedną z korzyści płynących z handlu OTC jest większa prywatność.
Niektóre transakcje OTC są wyróżnione poniżej. Każdy, kto handluje OTC na Huobi, doświadczył takich wycieków informacji od 2017 roku.
Na powyższym zrzucie ekranu możesz zobaczyć konto użytkownika, szczegóły transakcji i adres IP tradera. Pełna baza danych zawiera dziesiątki milionów takich transakcji.
W bazie danych znajdują się również notatki, które dają nam pewien wgląd w to, jak Huobi zarządza swoją platformą OTC za kulisami.
Szczegóły dokumentu Infrastruktura Huobi
Huobi ujawniła informacje o sobie. W załączniku przedstawiono wewnętrzne funkcjonowanie infrastruktury produkcyjnej. Wymienione są stosy oprogramowania, usługi w chmurze, serwery lokalne i inne wrażliwe szczegóły.
Te pliki, podobnie jak inne dane wyciekające z Huobi, są teraz bezpieczne.
Jedną z najbardziej unikalnych sieci CDN dotkniętych włamaniem Huobi jest Utopo Blockchain NFT. Złośliwy użytkownik może zmienić plik JSON w sieci CDN, aby edytować plik NFT.
NFT to linki do plików JSON w łańcuchu bloków. Modyfikowanie plików JSON powoduje zmianę właściwości NFT. W tym przypadku wszystkie NFT są edytowalne, mimo że nie wprowadziłem żadnych zmian.
Wciąż badane są zagrożenia bezpieczeństwa związane z NFT. W niektórych przypadkach zmodyfikowane NFT mogą zostać wykorzystane do wstrzyknięcia złośliwego kodu do przeglądarek, aplikacji lub gier. Nic nie wskazuje na to, że coś takiego miało miejsce tutaj.
oś czasu
Oto pełny harmonogram wydarzeń:
Ostatecznie Huobi unieważnił dane uwierzytelniające i zabezpieczył swoje miejsce w chmurze.
Użytkownicy Huobi cudem uciekli.
Niestety w tym przypadku nie mogę stwierdzić, że Huobi dobrze wykonało swoje zadanie. Wyciek danych uwierzytelniających Amazona był wystarczająco zły, ale uzyskanie odpowiedzi zajęło miesiące, a nawet wtedy Huobi zdecydował się pozostawić dane uwierzytelniające w Internecie.