全球最大的加密货币交易所之一火币悄然修复了一个数据泄露事件,该泄露事件可能导致该公司的云存储被访问。火币无意中共享了一组凭证,授予其所有 Amazon Web Services S3 存储桶写入权限。
该公司使用 S3 存储桶来托管其 CDN 和网站。任何人都可以使用这些凭据来修改 huobi.com 和 hbfile.net 域等上的内容。火币凭证泄露还导致用户数据和内部文件曝光。
利用火币的错误的攻击者将有机会进行历史上最大的加密货币盗窃。该公司此前报道称每天的交易量超过 10 亿美元。
如果火币没有采取行动,这一漏洞可能会被用来窃取用户账户和资产。该公司删除了受感染的帐户,其用户不再面临风险。
加密巨头火币泄露 AWS 凭证
在我检查开放的 Amazon Web Services (AWS) S3 存储桶时,我发现了一个包含 AWS 凭证的敏感文件。经过一番研究,我发现凭证是真实的,并且该帐户属于火币。
尽管火币删除了泄露事件中暴露的账户,但该公司尚未删除该文件。这些凭证仍然可以在线供任何人下载:http://local-jp-ex-test.s3.amazonaws.com/share_image/credentials
火币的所有用户都不会因该文件的持续可用性而面临风险。
敏感文件共享两年
根据亚马逊分配的元数据,火币于 2021 年 6 月意外发布了该文件。
这意味着该公司在大约两年的时间里一直在共享生产 AWS 凭证。完整的时间表位于文章末尾。
火币泄露获准访问私人存储
下载凭证的每个人都可以完全访问火币的云存储桶。我能够上传和删除火币所有 S3 存储桶中的文件。这是特别危险的,因为火币大量使用了存储桶。
这些凭证可能被用来修改和控制火币的许多域名。攻击者可能会利用火币的基础设施窃取用户帐户和资产、传播恶意软件并感染移动设备。
没有迹象表明有人利用这一漏洞对火币进行攻击。
对关键 S3 存储桶的写访问权限
为了评估这次违规行为的影响,我首先列出了所有可以列出的内容。我发现总共有 315 个,其中许多是私人的。
其中一些存储桶与火币运营的网站和 CDN 共享名称。例如,download.hbfile.net是一个 CDN,托管许多火币网站和应用程序使用的内容。
接下来,我尝试写入存储桶。我能够在所有 315 个存储桶中写入和删除文件。在下面的屏幕截图中,我将一个文件上传到火币用来存储和分发 Android 应用程序的 CDN。
恶意用户可能上传了火币 Android 应用程序的修改版本。
Amazon 使用 IAM 角色来控制对其云服务的访问。对于火币这样的大公司来说,创建单一角色来管理其云存储的情况并不罕见。但这种方法是一种糟糕的方法。
在多个团队中共享一个角色可以为攻击者提供大量访问权限。在这种情况下,我可以阅读机密报告、下载数据库备份以及修改 CDN 和网站上的内容。我完全掌控了火币业务几乎各个方面的数据。
受违规影响的火币 CDN 和网站
可以说,这次违规行为最危险的方面是它授予了火币 CDN 和网站的写入权限。公司花费大量资金进行测试,以确保黑帽黑客无法获得对该基础设施的写入访问权限。令人沮丧的是,火币竟然会泄露同样的访问权限。
一旦攻击者可以写入 CDN,就很容易找到注入恶意脚本的机会。一旦 CDN 受到损害,链接到它的所有网站也可能受到损害。以火币的登录门户为例。
火币的美国登录页面从至少五个不同的 CDN 加载资源。让我们重点关注上面红色的部分。这五个中的一个显然是一个存储桶,huobicfg.s3.amazonaws.com,因为 URL 包含字符串“s3.amazonaws.com”
但其他四个也对应于受损的存储桶。我能够让 Cloudfront 为无效请求生成详细的响应标头。标头显示 hbfile.net 域的部分内容由 Cloudfront 通过 AmazonS3 提供服务。
在这种情况下,Cloudfront 充当中间人,将 hbfile.com 请求重定向到 S3 存储桶。我在受损存储桶列表中找到了五个 CDN 中的四个。
我可以在所有 CDN 上写入和删除文件。
一般来说,消费者很难检测到受损的 CDN 和网站。从用户的角度来看,他们正在访问一个可信的网站。用户无法判断 CDN 上存储的文件是否已被更改。
对于反恶意软件,某些恶意脚本可能会被允许运行,因为它们是从正确的源提供的。对于黑帽黑客来说,破坏 CDN 是将代码或恶意软件注入网站的最有效方法之一。
火币让恶意用户很容易接管他们的 CDN 和网站。据我所知,该公司运营的每个登录页面都会受到此漏洞的影响。
两年来,每个登录火币网站或应用程序的用户都可能面临失去账户的风险。
火币泄露富裕用户的“鲸鱼报告”
此次违规行为还涉及隐私问题。使用火币泄露的凭证,我能够访问包含用户信息的客户关系管理(CRM)报告。
我发现的报告中有“加密鲸鱼”的联系信息和账户余额。鲸鱼是拥有大量加密货币的富裕用户,火币显然有兴趣与他们建立关系。
该公司似乎根据这些用户的能力级别对他们进行排序。拥有更大影响市场能力的用户会获得更高的排名。
火币总共泄露了 4,960 名用户的联系方式和账户信息。
火币OTC数据库曝光
火币泄露曝光的另一组数据。是场外交易 (OTC) 交易的数据库。许多交易所出于各种原因提供场外交易。场外交易此前一直存在争议。就在一周前,两家美国交易所自愿停止提供场外交易,以免面临更严格的审查。
解压后,数据库备份超过 2TB,似乎包含了火币自 2017 年以来处理的每笔 OTC 交易。这可能是许多交易者关心的问题,因为 OTC 交易的好处之一就是增加隐私。
下面重点介绍了一些场外交易。自 2017 年以来,任何在火币进行场外交易的人都曾遭遇过此类信息泄露。
在上面的屏幕截图中,可以看到用户帐户、交易详细信息和交易者的 IP 地址。完整的数据库包含数千万个这样的交易。
数据库中还有一些注释,可以让我们了解火币如何在幕后管理其场外交易平台。
{"name":"Suspected running score" , "id":190 , "root":"Money laundering risk"}
火币泄露场外交易行为构成了对隐私的侵犯。他们保存的日志详细且敏感,应该更加小心地保证它们的安全。
文档详细介绍了火币的基础设施
火币泄露了有关自己及其用户的信息。火币公开的Confluence附件显示了其生产基础设施的内部运作情况。软件堆栈、云服务、内部服务器和其他敏感细节都已列出。
这些文件与火币泄露的其他数据一样,现在都是安全的。
Utopo NFT 项目面临风险
受火币违规影响的最独特的 CDN 之一是 Utopo 区块链 NFT。恶意用户可能会更改 CDN 上的 JSON 文件以编辑 NFT。
NFT 是区块链上 JSON 文件的链接。当 JSON 文件被修改时,它们会改变 NFT 的特征。在这种情况下,所有 NFT 都可以编辑,尽管我没有做任何更改。
围绕 NFT 的安全风险仍在探索中。在某些情况下,可能会使用修改后的 NFT 将恶意代码注入浏览器、应用程序或游戏中。没有任何迹象表明这里发生过。
时间线
这是事件的完整时间表:
| 事件 | 日期 |
|---|---|
| 火币不小心与 AWS 凭证共享文件 | 2021 年 6 月 22 日 |
| 发现了泄露的凭证并确认它们是有效的 | 2022 年 6 月 9 日 |
| 开始研究评估泄漏的影响 | 2022 年 6 月 10 日 |
| 已通知火币违规行为 | 2022 年 6 月 12 日 |
| 开始定期尝试通过我在VPNOverview.com的前团队联系火币 | 2022 年 8 月 12 日 |
| 收到火币的回复,承诺关闭漏洞 | 2022 年 11 月 11 日 |
| 无法确认火币已撤销泄露的凭证 | 2022 年 12 月 15 日 |
| 恢复尝试通过我在VPNOverview.com的前团队联系火币 | 2023 年 1 月 9 日 |
| 使用我在Zendesk上找到的表格联系了火币 | 2023 年 6 月 20 日 |
| 确认火币已撤销泄露的凭证 | 2023 年 6 月 20 日 |
最终,火币撤销了这些凭证并保护了他们的云存储。
火币用户侥幸逃过一劫
由于火币等交易所的缺陷和漏洞,太多人失去了加密货币积蓄。它们是黑帽黑客的逻辑攻击点,因为单个受损的交易所可能拥有数十万用户。当供应商和服务提供商做好自己的工作时,加密货币就很难被窃取。
不幸的是,在这种情况下,我不能断定火币已经很好地完成了他们的工作。泄露自己的亚马逊凭证已经够糟糕的了,但花了几个月的时间才得到回应,即便如此,火币还是选择将凭证留在网上。
另一方面,火币网一直是最安全的加密货币交易所之一。但由于这样的违规行为,他们确实使该记录处于危险之中。
