Cointime

扫码下载App
iOS & Android

加密巨头 Huobi 泄露 AWS 凭证,“加密巨鲸”联系信息及账户余额等数据流出

个人专家

作者:phillips.technology 编译:Cointime Lu Tian

“该交易所多年来在公开的 S3 存储桶中存储含有 AWS 凭证的文件,从而使用户资产面临风险。”

作为全球最大的加密货币交易所之一,Huobi 近日秘密修复了一起可能导致公司云存储被访问的数据泄露事件。Huobi 不慎共享了一组凭证,赋予了对其所有 Amazon Web Services S3 存储桶的写入权限。

该公司利用 S3 存储桶来托管其内容分发网络(CDN)和网站。凭此泄露的凭证,任何人都有可能修改 huobi.com 和 hbfile.net 等域名上的内容。此外,Huobi 凭证的泄露还导致用户数据和内部文件的暴露。

针对 Huobi 的失误,攻击者可能有机会实施史上规模最大的加密货币盗窃。据先前报道,该公司的日交易量已超过 10 亿美元。

若 Huobi 未能采取行动,这一漏洞很可能会被用于窃取用户账户和资产。目前,该公司已删除了受感染的账户,用户不再面临风险。 

加密巨头 Huobi 泄露AWS凭证

在检查公开的Amazon Web Services (AWS) S3存储桶时,我发现了一个包含敏感AWS凭证的文件。经过深入研究,我确认这些凭证属实,而且该账户是Huobi的。  

  尽管Huobi删除了泄露事件中暴露的账户,但该公司未移除涉及的文件。这些凭证依然可以在线被任何人下载:http://local-jp-ex-test.s3.amazonaws.com/share_image/credentials

Huobi 已停用AWS凭证,但网络上仍保留副本

Huobi的所有用户都不会因为该文件持续在线而面临风险。

敏感文件公开两年

根据Amazon提供的元数据显示,Huobi在2021年6月意外发布了该文件。

这意味着该公司在过去两年时间里一直在分享生产环境的AWS凭证。

Huobi泄露的凭证允许访问私有存储

凭证的持有者可以完全访问Huobi的云存储桶。我有能力上传和删除Huobi所有S3存储桶中的文件。这尤为危险,因为Huobi大量依赖这些存储桶。

这些凭证有可能被用于修改和控制Huobi的许多域名。攻击者或许会利用Huobi的基础设施窃取用户账户和资产、传播恶意软件并感染移动设备。

目前没有证据显示有人利用此漏洞对Huobi发起攻击。

针对关键S3存储桶的写访问权限

为了评估此次违规行为的影响,我首先对所有可列出的内容进行了检查。总共发现了315个存储桶,其中不少是私有的。

Huobi AWS S3 存储桶部分存储桶与Huobi运营的网站和CDN共享名称。

例如,download.hbfile.net是一个CDN,托管了许多Huobi网站和应用程序所使用的内容。

Huobi AWS S3 存储桶接下来,我尝试向存储桶写入内容。我成功地在所有315个存储桶中写入和删除了文件。在下面的屏幕截图中,我将一个文件上传到Huobi用于存储和分发Android应用程序的CDN。

Huobi对CDN的写访问恶意用户可能会上传修改过的Huobi Android应用程序版本。

Amazon通过IAM角色控制对其云服务的访问。对于像Huobi这样的大公司,创建单一角色来管理其云存储并不罕见。但这种做法是不妥当的。

在多个团队中共享一个角色可能为攻击者提供广泛的访问权限。在这种情况下,我可以阅读机密报告、下载数据库备份,以及修改CDN和网站上的内容。我几乎完全掌控了Huobi业务各个方面的数据。

受违规影响的Huobi CDN和网站

可以说,此次违规行为最危险的方面在于它授权了对Huobi CDN和网站的写入权限。公司投入大量资金进行测试,以确保黑客无法获得对其基础设施的写入访问权限。然而令人沮丧的是,Huobi却泄露了类似的访问权限。

一旦攻击者可以写入CDN,就容易找到注入恶意脚本的机会。一旦CDN受到损害,所有链接到它的网站也可能受到影响。以Huobi的登录门户为例。

Huobi的美国登录页面从至少五个不同的CDN加载资源。我们重点关注上面红色的部分。这五个中的一个显然是一个存储桶,huobicfg.s3.amazonaws.com,因为URL包含字符串“s3.amazonaws.com”。

其他四个也对应于受损的存储桶。我能够让Cloudfront为无效请求生成详细的响应标头。标头显示hbfile.net域的部分内容由Cloudfront通过AmazonS3提供服务。

在这种情况下,Cloudfront充当中间人,将hbfile.com请求重定向到S3存储桶。我在受损存储桶列表中找到了五个CDN中的四个。

我可以在所有CDN上写入和删除文件。

一般来说,消费者很难检测到受损的CDN和网站。从用户的角度来看,他们正在访问一个值得信赖的网站。用户无法判断CDN上存储的文件是否已被更改。

对于反恶意软件,某些恶意脚本可能会被允许运行,因为它们是从正确的来源提供的。对于黑客来说,破坏CDN是将代码或恶意软件注入网站的最有效方法之一。

Huobi让恶意用户轻易接管他们的CDN和网站。据我所知,该公司运营的每个登录页面都可能受到此漏洞的影响。

在过去两年里,每个登录Huobi网站或应用程序的用户都可能面临失去账户的风险。

Huobi泄露的“鲸鱼报告”

此次违规行为还涉及隐私问题。使用Huobi泄露的凭证,我能够访问包含用户信息的客户关系管理(CRM)报告。

Huobi泄露有关加密鲸鱼的信息我发现的报告中有“加密鲸鱼”的联系信息和账户余额。鲸鱼是拥有大量加密货币的富裕用户,Huobi显然有兴趣与他们建立关系。

姓名、电话号码、电子邮件地址、账户信息等全部泄露

该公司似乎根据这些用户的市场影响力对他们进行排序。拥有更大影响市场能力的用户会获得更高的排名。

Huobi总共泄露了4960名用户的联系方式和账户信息。

Huobi OTC数据库曝光

Huobi泄露的另一组数据是场外交易(OTC)交易的数据库。许多交易所出于各种原因提供场外交易。场外交易此前一直存在争议。就在一周前,两家美国交易所自愿停止提供场外交易,以免面临更严格的审查。

Huobi OTC数据库备份压缩后为204.8GB解压后,数据库备份超过2TB,似乎包含了Huobi自2017年以来处理的每笔OTC交易。这可能是许多交易者关心的问题,因为OTC交易的好处之一就是增加隐私。

下面重点介绍了一些场外交易。自2017年以来,任何在Huobi进行场外交易的人都曾遭遇过此类信息泄露。

在上面的屏幕截图中,可以看到用户账户、交易详细信息和交易者的IP地址。完整的数据库包含数千万个这样的交易。

数据库中还有一些注释,可以让我们了解Huobi如何在幕后管理其场外交易平台。

{"name":"疑似跑分" , "id":190 , "root":"洗钱风险"}

Huobi泄露场外交易行为构成了对隐私的侵犯。他们保存的日志详细且敏感,应该更加小心地保证它们的安全。

Huobi公开的Confluence附件显示了其生产基础设施的内部运作情况。软件堆栈、云服务、内部服务器和其他敏感细节都已列出。

该文件已翻译这些文件与Huobi泄露的其他数据一样,现在都是安全的。

Utopo NFT 项目面临风险

受Huobi违规影响的最独特的CDN之一是Utopo区块链NFT。恶意用户可能会更改CDN上的JSON文件以编辑NFT。

Huobi比特币主宰NFT Utopo区块链NFT是区块链上JSON文件的链接。当JSON文件被修改时,它们会改变NFT的特征。在这种情况下,所有NFT都可以编辑,尽管我没有做任何更改。

这个NFT并没有被修改来注入恶意代码,它只是一个老虎机女士围绕NFT的安全风险仍在探索中。在某些情况下,可能会使用修改后的NFT将恶意代码注入浏览器、应用程序或游戏中。没有迹象表明这里发生过。

时间线

Huobi用户躲过一劫

由于Huobi等交易所的缺陷和漏洞,许多人失去了加密货币积蓄。这些交易所成为黑帽黑客的理想攻击目标,因为一个受损的交易所可能拥有数十万用户。只有当供应商和服务提供商尽职尽责时,加密货币才能更难以被窃取。

遗憾的是,在这种情况下,我们无法断言Huobi已经很好地完成了他们的工作。泄露自己的亚马逊凭证本身就足够糟糕,但花了数月才得到回应,尽管如此,Huobi仍选择将凭证留在网上。

另一方面,Huobi一直是最安全的加密货币交易所之一。然而,由于这样的违规行为,他们确实让该记录面临风险。

我已销毁所有与此次泄露相关的个人身份信息(PII)和敏感信息。

评论

所有评论

推荐阅读

  • 京东币链:正在进行香港稳定币牌照申请的准备工作

    市场传闻称,京东等或退出香港稳定币业务。对此,京东币链表示,已关注到市场上的不实报道和谣言,京东币链特此回应,正在进行香港稳定币牌照申请的准备工作。(每经)

  • 美CFTC考虑允许期货交易所开展现货加密货币交易

    美国商品期货交易委员会(CFTC)表示,正在考虑允许在已注册的期货交易所开展现货加密货币交易,并寻求利益相关方的意见,以落实总统特朗普提出的加密货币发展目标。CFTC 代理主席 Caroline Pham 于周一发表声明称,该机构希望利益相关方协助其就如何在 CFTC 注册的期货交易所(也称为指定合约市场,DCM)上挂牌现货加密资产提供监管明确性。

  • 企业加密资产储备突破千亿美元大关

    随着企业大军涌入加密货币市场,银河研究最新报告显示:当前数字资产储备公司的比特币持仓达930亿美元,占流通总量近4%;以太坊持仓41亿美元,占比1%;资产负债表新增SOL、XRP、BNB等10种新兴加密货币;其中Strategy公司以718亿美元比特币持仓(含280亿美元浮盈)稳居榜首。

  • 巴西将举行听证会探讨建立战略性比特币储备

    巴西计划于2025年8月20日召开公开听证会,讨论建立战略性比特币储备事宜。

  • ETH跌破3600美元

    行情显示,ETH跌破3600美元,现报3597.36美元,24小时跌幅达到1.43%,行情波动较大,请做好风险控制。

  • BNB跌破750美元

    行情显示,BNB跌破750美元,现报749.9美元,24小时跌幅达到1.94%,行情波动较大,请做好风险控制。

  • CEA Industries 完成 5 亿美元私募并将更名为 BNB Network Company,YZi Labs 领投

    CEA Industries(纳斯达克:VAPE)今日宣布完成 5 亿美元私募融资,并将更名为"BNB Network Company",股票代码将于 8 月 6 日变更为"BNC"。该公司计划将所得资金用于购买 BNB,作为其主要储备资产。 此次私募由 YZi Labs 领投,吸引了包括 Pantera Capital、Blockchain.com 等超过 140 家机构参与。同时,公司任命前 Galaxy Digital 联合创始人 David Namdar 为首席执行官,前加州公务员退休基金(CalPERS)首席信息官 Russell Read 担任首席信息官。

  • Coinbase:加拿大客户可使用PayPal买卖加密货币

    Coinbase:加拿大客户可使用PayPal买卖加密货币。

  • 分析师:比特币正被视为投资组合多元化工具

    eToro分析师Lale Akoner表示,投资者越来越多地将比特币作为分散投资组合的一种方式。标准普尔500指数偏向大型科技股,尤其是英伟达,防御型股票很少。长期美国国债曾经作为一种多元化投资工具受到追捧,但最近受到了压力。她说,这意味着投资者正在寻找其他资产来保护自己的投资组合免受潜在损失。“我认为这就是为什么我们看到更多的黄金和比特币的原因。”她说,比特币仍然是一种高风险资产,但它可以很好地分散投资。

  • 印度暂停发布加密货币政策文件,因其他事项优先考虑

    印度尚未发布有关加密货币的讨论文件,原计划于9月份发布。重要事项,如本月的世界银行会议,已经成为制定印度加密货币政策立场的关键利益相关者咨询的优先事项。据两位知情人士透露,印度尚未发布有关加密货币的政策立场的讨论文件,因为官员们正在集中精力处理其他事务。最初预计将在与中央银行和市场监管机构等利益相关者的磋商后于9月份发布该文件。这些人士表示,出版意图仍然存在,但没有时间表,因为延迟尚未公开宣布。