Tiết lộ mũ trắng: Huobi đã rò rỉ thông tin giao dịch OTC, thông tin tài khoản lớn, thông tin khách hàng, cơ cấu kỹ thuật nội bộ, v.v. trên quy mô lớn vào năm 2021

Gần đây, một người dùng đã nhận được email mũ trắng có nội dung:

Xin chào, tên tôi là Aaron. Tôi viết thư này để thông báo cho bạn biết rằng một số thông tin cá nhân của bạn đã được công khai trên Internet. Tôi đã báo cáo vấn đề và đảm bảo rằng nó đã được khắc phục. Thông tin của bạn không còn trực tuyến nữa.

Sàn giao dịch tiền điện tử Huobi đã vô tình làm rò rỉ “báo cáo về cá voi” trong một vụ vi phạm dữ liệu gần đây. Các báo cáo này chứa tên, số điện thoại, địa chỉ và địa chỉ email bạn đã cung cấp cho Huobi khi đăng ký. Họ cũng có số dư ví và thông tin về tài sản của bạn.

phillips.technology là trang web cá nhân của hacker mũ trắng, nhà báo công dân và người ủng hộ người tiêu dùng Aaron Phillips. Aaron Phillips là chuyên gia người Mỹ có 4 năm kinh nghiệm trong lĩnh vực an ninh mạng và 20 năm kinh nghiệm về CNTT. Công việc của anh tập trung vào việc bảo vệ người tiêu dùng khỏi các hành vi vi phạm dữ liệu và vi phạm an ninh, đồng thời công việc của anh đã được đăng trên một số trang tin tức công nghệ phổ biến nhất trên thế giới. Các lĩnh vực trọng tâm của ông bao gồm bảo mật ứng dụng web và di động, bảo mật đám mây và thử nghiệm thâm nhập mạng.

Huobi đã trả lời:

Sự cố xảy ra vào ngày 22 tháng 6 năm 2021 do nhân viên có liên quan của nhóm S3 hoạt động bất thường trong môi trường thử nghiệm của trang web Nhật Bản. Thông tin người dùng liên quan đã bị cô lập hoàn toàn vào ngày 8 tháng 10 năm 2022. Sau khi sự cố này được nhóm mũ trắng phát hiện, nhóm bảo mật Huobi đã xử lý nó sớm nhất có thể vào ngày 21 tháng 6 năm 2023 (10 ngày trước) và ngay lập tức đóng quyền truy cập vào các tệp liên quan. Lỗ hổng hiện tại đã được sửa chữa và tất cả các tệp liên quan. thông tin người dùng đã bị xóa. Cảm ơn đội mũ trắng vì những đóng góp của họ cho vấn đề bảo mật Huobi.

Toàn văn văn bản như sau:

Huobi đã âm thầm khắc phục sự cố vi phạm dữ liệu có thể cho phép truy cập vào bộ lưu trữ đám mây của công ty. Huobi đã vô tình chia sẻ một bộ thông tin xác thực cấp quyền truy cập ghi vào tất cả các nhóm S3 của Amazon Web Services.

Công ty sử dụng nhóm S3 để lưu trữ CDN và trang web của mình. Bất kỳ ai cũng có thể sử dụng những thông tin xác thực này để sửa đổi nội dung trên các miền huobi.com và hbfile.net, cùng nhiều miền khác. Việc rò rỉ thông tin đăng nhập Huobi cũng dẫn đến việc dữ liệu người dùng và tài liệu nội bộ bị lộ.

Những kẻ tấn công khai thác lỗi của Huobi sẽ có cơ hội thực hiện vụ trộm tiền điện tử lớn nhất trong lịch sử.

Nếu Huobi không hành động, lỗ hổng này có thể đã bị khai thác để đánh cắp tài khoản và tài sản của người dùng. Công ty đã xóa tài khoản bị xâm nhập và người dùng của nó không còn gặp rủi ro nữa.

Khi tôi kiểm tra vùng lưu trữ S3 của Amazon Web Services (AWS) đang mở, tôi phát hiện ra một tệp nhạy cảm chứa thông tin xác thực AWS. Sau một số nghiên cứu, tôi phát hiện ra rằng thông tin đăng nhập là xác thực và tài khoản thuộc về Huobi.

Mặc dù Huobi đã xóa các tài khoản bị lộ trong vụ vi phạm nhưng công ty vẫn chưa xóa tệp. Thông tin đăng nhập vẫn có sẵn trực tuyến để mọi người tải xuống:

Huobi đã vô tình phát hành tài liệu này vào tháng 6 năm 2021, theo siêu dữ liệu do Amazon phân phối.

Điều này có nghĩa là công ty đã chia sẻ thông tin xác thực AWS sản xuất trong khoảng hai năm.

Mọi người tải xuống thông tin xác thực đều có toàn quyền truy cập vào kho lưu trữ đám mây của Huobi. Tôi có thể tải lên và xóa các tập tin trong tất cả các nhóm S3 của Huobi. Điều này đặc biệt nguy hiểm vì Huobi sử dụng rất nhiều xô.

Những thông tin xác thực này có thể được sử dụng để sửa đổi và kiểm soát nhiều miền của Huobi. Những kẻ tấn công có thể khai thác cơ sở hạ tầng của Huobi để đánh cắp tài khoản và tài sản của người dùng, phát tán phần mềm độc hại và lây nhiễm vào thiết bị di động.

Không có dấu hiệu nào cho thấy có ai khai thác lỗ hổng này để tấn công Huobi.

Ghi quyền truy cập vào các nhóm S3 quan trọng

Để đánh giá tác động của vi phạm này, trước tiên tôi liệt kê mọi thứ có thể. Tôi thấy tổng cộng có 315, nhiều trong số đó là riêng tư.

Một số nhóm này có chung tên với các trang web và CDN do Huobi vận hành. Ví dụ: CDN lưu trữ nội dung được nhiều trang web và ứng dụng Huobi sử dụng.

Tiếp theo, tôi cố gắng viết vào thùng. Tôi có thể ghi và xóa các tập tin trong tất cả 315 nhóm. Trong ảnh chụp màn hình bên dưới, tôi đã tải một tệp lên CDN được Huobi sử dụng để lưu trữ và phân phối ứng dụng Android.

Người dùng độc hại có thể đã tải lên phiên bản sửa đổi của ứng dụng Huobi Android.

Amazon sử dụng vai trò IAM để kiểm soát quyền truy cập vào các dịch vụ đám mây của mình. Không có gì lạ khi các công ty lớn như Huobi tạo ra một vai trò duy nhất để quản lý bộ nhớ đám mây của họ. Nhưng cách tiếp cận này là một cách tồi tệ.

Chia sẻ vai trò giữa nhiều nhóm có thể cung cấp cho kẻ tấn công quyền truy cập đáng kể. Trong trường hợp này, tôi có thể đọc các báo cáo bí mật, tải xuống bản sao lưu cơ sở dữ liệu và sửa đổi nội dung trên CDN và trang web. Tôi có toàn quyền kiểm soát dữ liệu về hầu hết mọi khía cạnh hoạt động kinh doanh của Huobi.

Có thể cho rằng, khía cạnh nguy hiểm nhất của vi phạm này là quyền truy cập ghi được cấp cho CDN và trang web của Huobi. Công ty chi rất nhiều tiền cho việc thử nghiệm để đảm bảo rằng tin tặc mũ đen không thể có quyền truy cập ghi vào cơ sở hạ tầng. Thật khó chịu khi Huobi rò rỉ quyền truy cập tương tự.

Khi kẻ tấn công có thể ghi vào CDN, rất dễ tìm thấy cơ hội để tiêm các tập lệnh độc hại. Khi CDN bị xâm phạm, tất cả các trang web được liên kết với nó cũng có thể bị xâm phạm. Lấy cổng đăng nhập của Huobi làm ví dụ.

Trang đăng nhập của Huobi tại Hoa Kỳ tải tài nguyên từ ít nhất năm CDN khác nhau. Hãy tập trung vào phần màu đỏ ở trên. Một trong năm cái rõ ràng là một nhóm, huobicfg.s3.amazonaws, vì URL chứa chuỗi "s3.amazonaws".

Nhưng bốn cái còn lại cũng tương ứng với các nhóm bị xâm phạm. Tôi đã có thể yêu cầu Cloudfront tạo tiêu đề phản hồi chi tiết cho các yêu cầu không hợp lệ. Tiêu đề cho thấy một phần của miền hbfile.net được Cloudfront phân phối thông qua AmazonS3.

Trong trường hợp này, Cloudfront đóng vai trò là người trung gian, chuyển hướng các yêu cầu hbfile.com tới nhóm S3. Tôi tìm thấy bốn trong số năm CDN trong danh sách các nhóm bị xâm nhập.

Tôi có thể ghi và xóa tập tin trên tất cả CDN.

Nói chung, các CDN và trang web bị xâm phạm rất khó để người tiêu dùng phát hiện. Từ góc độ của người dùng, họ đang truy cập một trang web đáng tin cậy. Người dùng không thể biết liệu các tệp được lưu trữ trên CDN có bị thay đổi hay không.

Với phần mềm chống phần mềm độc hại, một số tập lệnh độc hại nhất định có thể được phép chạy vì chúng được cung cấp từ đúng nguồn. Đối với tin tặc mũ đen, việc xâm phạm CDN là một trong những cách hiệu quả nhất để đưa mã hoặc phần mềm độc hại vào trang web.

Huobi giúp người dùng độc hại dễ dàng chiếm lấy CDN và trang web của họ. Theo tôi được biết, mọi trang đăng nhập do công ty vận hành đều bị ảnh hưởng bởi lỗ hổng này.

Trong hai năm, mọi người dùng đăng nhập vào trang web hoặc ứng dụng của Huobi đều có nguy cơ bị mất tài khoản.

Sự vi phạm cũng làm tăng mối lo ngại về quyền riêng tư. Bằng cách sử dụng thông tin xác thực bị rò rỉ của Huobi, tôi có thể truy cập các báo cáo quản lý quan hệ khách hàng (CRM) có chứa thông tin người dùng.

Các báo cáo tôi tìm thấy có thông tin liên hệ và số dư tài khoản của “cá voi tiền điện tử”. Cá voi là những người dùng giàu có với số lượng lớn tiền điện tử và Huobi rõ ràng quan tâm đến việc xây dựng mối quan hệ với họ.

Công ty dường như xếp hạng những người dùng này dựa trên mức độ khả năng của họ. Người dùng có ảnh hưởng thị trường lớn hơn sẽ được xếp hạng cao hơn.

Tổng cộng, Huobi đã rò rỉ thông tin liên hệ và thông tin tài khoản của 4.960 người dùng.

Một bộ dữ liệu khác bị rò rỉ bởi Huobi. Là cơ sở dữ liệu cho các giao dịch không cần kê đơn (OTC).

Khi giải nén, bản sao lưu cơ sở dữ liệu vượt quá 2TB và dường như chứa mọi giao dịch OTC mà Huobi đã xử lý kể từ năm 2017. Đây có thể là mối lo ngại của nhiều nhà giao dịch, vì một trong những lợi ích của giao dịch OTC là tăng cường quyền riêng tư.

Một số giao dịch OTC được nêu bật bên dưới. Bất kỳ ai thực hiện giao dịch OTC trên Huobi đều gặp phải tình trạng rò rỉ thông tin như vậy kể từ năm 2017.

Trong ảnh chụp màn hình ở trên, bạn có thể xem tài khoản người dùng, chi tiết giao dịch và địa chỉ IP của nhà giao dịch. Cơ sở dữ liệu hoàn chỉnh chứa hàng chục triệu giao dịch như vậy.

Ngoài ra còn có các ghi chú trong cơ sở dữ liệu giúp chúng ta hiểu rõ hơn về cách Huobi quản lý nền tảng OTC của mình.

Tài liệu chi tiết cơ sở hạ tầng của Huobi

Huobi đã rò rỉ thông tin về chính nó. Tệp đính kèm cho thấy hoạt động bên trong của cơ sở hạ tầng sản xuất. Ngăn xếp phần mềm, dịch vụ đám mây, máy chủ tại chỗ và các chi tiết nhạy cảm khác được liệt kê.

Những tệp này, giống như các dữ liệu khác bị rò rỉ từ Huobi, hiện đã an toàn.

Một trong những CDN độc đáo nhất bị ảnh hưởng bởi vụ vi phạm Huobi là Utopo Blockchain NFT. Người dùng độc hại có thể thay đổi tệp JSON trên CDN để chỉnh sửa NFT.

NFT là các liên kết đến các tệp JSON trên blockchain. Khi các tệp JSON được sửa đổi, chúng sẽ thay đổi các đặc tính của NFT. Trong trường hợp này, tất cả NFT đều có thể chỉnh sửa được, mặc dù tôi không thực hiện bất kỳ thay đổi nào.

Những rủi ro bảo mật xung quanh NFT vẫn đang được khám phá. Trong một số trường hợp, NFT đã sửa đổi có thể được sử dụng để đưa mã độc vào trình duyệt, ứng dụng hoặc trò chơi. Không có gì cho thấy điều đó đã xảy ra ở đây.

mốc thời gian

Đây là dòng thời gian đầy đủ của các sự kiện:

Cuối cùng, Huobi đã thu hồi thông tin đăng nhập và bảo mật bộ lưu trữ đám mây của họ.

Người dùng Huobi đã thoát chết trong gang tấc.

Thật không may, trong trường hợp này, tôi không thể kết luận rằng Huobi đã làm tốt công việc của họ. Việc rò rỉ thông tin đăng nhập Amazon của chính họ đã đủ tệ rồi, nhưng phải mất nhiều tháng mới nhận được phản hồi và thậm chí sau đó, Huobi đã chọn để lại thông tin đăng nhập trực tuyến.