【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例

news2024/11/14 13:47:04

全球最大的加密货币交易所之一火币悄然修复了一个数据泄露事件,该泄露事件可能导致该公司的云存储被访问。火币无意中共享了一组凭证,授予其所有 Amazon Web Services S3 存储桶写入权限。

该公司使用 S3 存储桶来托管其 CDN 和网站。任何人都可以使用这些凭据来修改 huobi.com 和 hbfile.net 域等上的内容。火币凭证泄露还导致用户数据和内部文件曝光。

利用火币的错误的攻击者将有机会进行历史上最大的加密货币盗窃。该公司此前报道称每天的交易量超过 10 亿美元。

如果火币没有采取行动,这一漏洞可能会被用来窃取用户账户和资产。该公司删除了受感染的帐户,其用户不再面临风险。

加密巨头火币泄露 AWS 凭证

在我检查开放的 Amazon Web Services (AWS) S3 存储桶时,我发现了一个包含 AWS 凭证的敏感文件。经过一番研究,我发现凭证是真实的,并且该帐户属于火币。

尽管火币删除了泄露事件中暴露的账户,但该公司尚未删除该文件。这些凭证仍然可以在线供任何人下载:http://local-jp-ex-test.s3.amazonaws.com/share_image/credentials

火币的所有用户都不会因该文件的持续可用性而面临风险。

敏感文件共享两年

根据亚马逊分配的元数据,火币于 2021 年 6 月意外发布了该文件。

这意味着该公司在大约两年的时间里一直在共享生产 AWS 凭证。完整的时间表位于文章末尾。

火币泄露获准访问私人存储

下载凭证的每个人都可以完全访问火币的云存储桶。我能够上传和删除火币所有 S3 存储桶中的文件。这是特别危险的,因为火币大量使用了存储桶。

这些凭证可能被用来修改和控制火币的许多域名。攻击者可能会利用火币的基础设施窃取用户帐户和资产、传播恶意软件并感染移动设备。

没有迹象表明有人利用这一漏洞对火币进行攻击。

对关键 S3 存储桶的写访问权限

为了评估这次违规行为的影响,我首先列出了所有可以列出的内容。我发现总共有 315 个,其中许多是私人的。

其中一些存储桶与火币运营的网站和 CDN 共享名称。例如,download.hbfile.net是一个 CDN,托管许多火币网站和应用程序使用的内容。

接下来,我尝试写入存储桶。我能够在所有 315 个存储桶中写入和删除文件。在下面的屏幕截图中,我将一个文件上传到火币用来存储和分发 Android 应用程序的 CDN。

恶意用户可能上传了火币 Android 应用程序的修改版本。

Amazon 使用 IAM 角色来控制对其云服务的访问。对于火币这样的大公司来说,创建单一角色来管理其云存储的情况并不罕见。但这种方法是一种糟糕的方法。

在多个团队中共享一个角色可以为攻击者提供大量访问权限。在这种情况下,我可以阅读机密报告、下载数据库备份以及修改 CDN 和网站上的内容。我完全掌控了火币业务几乎各个方面的数据。

受违规影响的火币 CDN 和网站

可以说,这次违规行为最危险的方面是它授予了火币 CDN 和网站的写入权限。公司花费大量资金进行测试,以确保黑帽黑客无法获得对该基础设施的写入访问权限。令人沮丧的是,火币竟然会泄露同样的访问权限。

一旦攻击者可以写入 CDN,就很容易找到注入恶意脚本的机会。一旦 CDN 受到损害,链接到它的所有网站也可能受到损害。以火币的登录门户为例。

火币的美国登录页面从至少五个不同的 CDN 加载资源。让我们重点关注上面红色的部分。这五个中的一个显然是一个存储桶,huobicfg.s3.amazonaws.com,因为 URL 包含字符串“s3.amazonaws.com”

但其他四个也对应于受损的存储桶。我能够让 Cloudfront 为无效请求生成详细的响应标头。标头显示 hbfile.net 域的部分内容由 Cloudfront 通过 AmazonS3 提供服务。

在这种情况下,Cloudfront 充当中间人,将 hbfile.com 请求重定向到 S3 存储桶。我在受损存储桶列表中找到了五个 CDN 中的四个。

我可以在所有 CDN 上写入和删除文件。

一般来说,消费者很难检测到受损的 CDN 和网站。从用户的角度来看,他们正在访问一个可信的网站。用户无法判断 CDN 上存储的文件是否已被更改。

对于反恶意软件,某些恶意脚本可能会被允许运行,因为它们是从正确的源提供的。对于黑帽黑客来说,破坏 CDN 是将代码或恶意软件注入网站的最有效方法之一。

火币让恶意用户很容易接管他们的 CDN 和网站。据我所知,该公司运营的每个登录页面都会受到此漏洞的影响。

两年来,每个登录火币网站或应用程序的用户都可能面临失去账户的风险。

火币泄露富裕用户的“鲸鱼报告”

此次违规行为还涉及隐私问题。使用火币泄露的凭证,我能够访问包含用户信息的客户关系管理(CRM)报告。

我发现的报告中有“加密鲸鱼”的联系信息和账户余额。鲸鱼是拥有大量加密货币的富裕用户,火币显然有兴趣与他们建立关系。

该公司似乎根据这些用户的能力级别对他们进行排序。拥有更大影响市场能力的用户会获得更高的排名。

火币总共泄露了 4,960 名用户的联系方式和账户信息。

火币OTC数据库曝光

火币泄露曝光的另一组数据。是场外交易 (OTC) 交易的数据库。许多交易所出于各种原因提供场外交易。场外交易此前一直存在争议。就在一周前,两家美国交易所自愿停止提供场外交易,以免面临更严格的审查。

解压后,数据库备份超过 2TB,似乎包含了火币自 2017 年以来处理的每笔 OTC 交易。这可能是许多交易者关心的问题,因为 OTC 交易的好处之一就是增加隐私。

下面重点介绍了一些场外交易。自 2017 年以来,任何在火币进行场外交易的人都曾遭遇过此类信息泄露。

在上面的屏幕截图中,可以看到用户帐户、交易详细信息和交易者的 IP 地址。完整的数据库包含数千万个这样的交易。

数据库中还有一些注释,可以让我们了解火币如何在幕后管理其场外交易平台。

{"name":"Suspected running score" , "id":190 , "root":"Money laundering risk"}

火币泄露场外交易行为构成了对隐私的侵犯。他们保存的日志详细且敏感,应该更加小心地保证它们的安全。

文档详细介绍了火币的基础设施

火币泄露了有关自己及其用户的信息。火币公开的Confluence附件显示了其生产基础设施的内部运作情况。软件堆栈、云服务、内部服务器和其他敏感细节都已列出。

这些文件与火币泄露的其他数据一样,现在都是安全的。

Utopo NFT 项目面临风险

受火币违规影响的最独特的 CDN 之一是 Utopo 区块链 NFT。恶意用户可能会更改 CDN 上的 JSON 文件以编辑 NFT。

NFT 是区块链上 JSON 文件的链接。当 JSON 文件被修改时,它们会改变 NFT 的特征。在这种情况下,所有 NFT 都可以编辑,尽管我没有做任何更改。

围绕 NFT 的安全风险仍在探索中。在某些情况下,可能会使用修改后的 NFT 将恶意代码注入浏览器、应用程序或游戏中。没有任何迹象表明这里发生过。

时间线

这是事件的完整时间表:

事件日期
火币不小心与 AWS 凭证共享文件2021 年 6 月 22 日
发现了泄露的凭证并确认它们是有效的2022 年 6 月 9 日
开始研究评估泄漏的影响2022 年 6 月 10 日
已通知火币违规行为2022 年 6 月 12 日
开始定期尝试通过我在VPNOverview.com的前团队联系火币2022 年 8 月 12 日
收到火币的回复,承诺关闭漏洞2022 年 11 月 11 日
无法确认火币已撤销泄露的凭证2022 年 12 月 15 日
恢复尝试通过我在VPNOverview.com的前团队联系火币2023 年 1 月 9 日
使用我在Zendesk上找到的表格联系了火币2023 年 6 月 20 日
确认火币已撤销泄露的凭证2023 年 6 月 20 日

最终,火币撤销了这些凭证并保护了他们的云存储。

火币用户侥幸逃过一劫

由于火币等交易所的缺陷和漏洞,太多人失去了加密货币积蓄。它们是黑帽黑客的逻辑攻击点,因为单个受损的交易所可能拥有数十万用户。当供应商和服务提供商做好自己的工作时,加密货币就很难被窃取。

不幸的是,在这种情况下,我不能断定火币已经很好地完成了他们的工作。泄露自己的亚马逊凭证已经够糟糕的了,但花了几个月的时间才得到回应,即便如此,火币还是选择将凭证留在网上。

另一方面,火币网一直是最安全的加密货币交易所之一。但由于这样的违规行为,他们确实使该记录处于危险之中。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/714491.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

shell中sed命令常用用法总结

1、sed命令匹配文本内容进行替换 #-i 可以直接在原始文本中匹配替换,s/匹配内容/需要替换的内容/g ,g是以一行为全局,有g说明每行中匹配到的都需要替换,没有g说明,只需要替换每行中的第一个匹配到的。 sed -i s/pool …

前端 鱼骨图 elenemt ui

展示图 代码 <template><div><divclass"fishbone":style"{ height: calc((${topChiderH} ${topChiderH}) 33px) }"><div class"top-box"><divclass"flex-items"ref"topChilderen":style"…

使用预训练CNN生成图像嵌入(image embeddings)

文章目录 什么是图像嵌入&#xff1f;来自 Kaggle 的狗品种图像数据集从狗品种图像数据集生成图像嵌入参考 什么是图像嵌入&#xff1f; 图像嵌入是图像的低维表示。换句话说&#xff0c;它是图像的密集向量表示&#xff0c;可用于分类等许多任务。 例如&#xff0c;这些深度…

(0020) H5-Vue-router+Element-ui 搭建非常简单的dashboard

参考学习&#xff1a; Vue Vue-router Element-ui 搭建一个非常简单的dashboard demo demo参考&#xff1a;https://github.com/wangduanduan/vue-el-dashboard 在线预览 效果图&#xff1a; 使用到的技术&#xff1a; Vue Vue-router Element-ui webpack Normalize.css v…

final关键字 抽象类

final关键字 可以修饰类、属性、方法和局部变量【参数】。 使用场景 1、当不希望 类被继承时&#xff0c;可以用final修饰。比如不希望子类重写父类时。 2、当不希望子类重写父类的某个方法。注意&#xff1a;此时不能重写但能继承父类此方法使用。 3、当不希望类的某个属…

windows下在注册表中添加右键pycharm打开目录

1、winregedit打开注册表&#xff0c;并在shell下创建项&#xff0c;修改如下图右侧内容 2、在PyCharm下创建command项&#xff0c;并修改其内容 3、重启电脑 4、显示

比ping还好用的排障命令

遇到网络故障的时候&#xff0c;你一般会最先使用哪条命令进行排障&#xff1f; 除了Ping&#xff0c;还有Traceroute、Show、Telnet又或是Clear、Debug等等。 今天安排的&#xff0c;是Traceroute排障命令详解&#xff0c;给你分享2个经典排障案例哈。 01 Traceroute原理和功…

Cisco ISR 4000 Series IOS XE Release Dublin-17.11.1a ED

Cisco ISR 4000 Series IOS XE Release Dublin-17.11.1a ED 思科 4000 系列集成服务路由器 请访问原文链接&#xff1a;https://sysin.org/blog/cisco-isr-4000/&#xff0c;查看最新版。原创作品&#xff0c;转载请保留出处。 作者主页&#xff1a;sysin.org 思科 4000 系列…

Matlab无人机算法开发套件上新,快速实现控制算法到无人机平台的移植

在现有的旋翼无人机市场中&#xff0c;绝大部分可二次开发的产品都只提供C、C等SDK&#xff0c;但在科研类无人机这一细分领域中&#xff0c;更多的开发者偏好或善于使用Matlab进行算法的开发和验证。为了助力从事控制算法理论研究的开发者&#xff0c;能够独立完成控制算法到无…

举例说明什么是循环神经网络

循环神经网络&#xff08;Recurrent Neural Network, RNN&#xff09;是一种处理时间序列数据和自然语言等具有顺序信息的数据的神经网络模型。与普通的前馈神经网络&#xff08;Feedforward Neural Network&#xff09;不同&#xff0c;RNN具有循环连接&#xff0c;使得网络能…

【Java】-【IDEA 编译项目时报错:GC overhead limit exceeded】

文章目录 问题简述问题分析解决方案解决方案一解决方案二 问题简述 以前项目启动都是好好的&#xff0c;没有任何问题&#xff0c;最近启动时却报错&#xff1a; java.lang.OutOfMemoryError: ...(此处忽略) GC overhead limit exceeded问题分析 错误是发生在编译阶段&#…

STM32单片机CAN总线汽车灯光控制系统远近光刹车双闪

实践制作DIY- GC0151---CAN总线汽车灯光控制系统 基于STM32单片机设计---CAN总线汽车灯光控制系统 二、功能介绍&#xff1a; OLED主控板&#xff1a;STM32F103C系列最小系统OLED显示3个按键&#xff08;大灯开关、大灯自动/手动、大灯近光/远光&#xff09;左转按键右转按键双…

docker学习(七)docker daemon

1.Docker 的CS模式 1.1.Docker 的C/S模式介绍 在 Docker Client 中来运行 Docker 的各种命令&#xff0c;这些命令会传送给在 Docker 的宿主机上运行的 Docker 守护进程。而 Docker 守护进程是负责实现 Docker 各种功能的。 如图所示&#xff0c;Docker 守护进程运行在宿主机…

超参数调试、Batch正则化和程序框架

1、归一化网络的激活函数&#xff08;Normalizing activations in a network &#xff09; 规范化&#xff0c;方法如下&#xff0c;减去均值再除以标准偏差&#xff0c;为了使数值稳定&#xff0c; 通常将&#x1d700;作为分母&#xff0c;以防&#x1d70e; 0的情况 &…

使用maven profile 实现一次打包多版本依赖的fat jar

基于一种特殊情况: 需要开发通用代码,但底层依赖的jar有不同版本,使用一次maven 命令编译来同时生成多个fat jar。 测试代码结构: log4j-v1/log4j-v2 有一个同名类被maintest引用。 maintest pom.xml如下 <?xml version="1.0" encoding="UTF-8"…

Docker的安装以及Docker私有仓库的搭建

Docker的安装 # 1、yum 包更新到最新 yum update # 2、安装需要的软件包&#xff0c; yum-util 提供yum-config-manager功能&#xff0c;另外两个是devicemapper驱动依赖的 yum install -y yum-utils device-mapper-persistent-data lvm2 # 3、 设置yum源 yum-config-manage…

基于QT设计的无人机地面站(摄像头录像拍摄)

一、功能需求 通过QT设计一款无人机地面站软件,需要包含基本的RTSP拉流功能,对接无人机平台的RTSP流。此外,需要完成拍照、录像、OSD叠加功能;完成按钮控制云台进行拍照、录像、变焦、指点运动等。在此基础上,完成对应的目标跟踪识别。 技术要求 (1)采用QT平台,设计W…

一、QT主界面简介和创建一个QT工程

QT从入门到实战学习笔记 一、QtCreator主界面简介1、欢迎界面2、编辑界面3、设计界面4、Debug界面5、帮助界面6、主界面左下角按钮 二、创建QT工程1、创建一个新的project2、模板选择3、项目介绍和位置4、定义所建的系统文件类型5、创建类信息&#xff08;Details&#xff09;6…

Redis【实战篇】---- 秒杀优化

Redis【实战篇】---- 秒杀优化 1. 秒杀优化-异步秒杀思路2. 秒杀优化-Redis完成秒杀资格判断3. 秒杀优化-基于阻塞队列完成秒杀优化 1. 秒杀优化-异步秒杀思路 我们来回顾一下下单流程 当用户发起请求&#xff0c;此时会请求nginx&#xff0c;nginx会访问到tomcat&#xff0c…

HNU-小学期工训-STC-B焊接质量分析报告

质量分析报告 焊接情况简单概述 同学们都按时按质量地完成了焊接工作&#xff0c;在测试过程中无短路问题 学习班焊接质量、报修等情况统计 焊接质量较好&#xff0c;焊锡基本圆润光滑&#xff0c;经测试无短路现象 报修情况统计&#xff1a; 测试情况统计 部分同学存在故…