Cointime

扫码下载App
iOS & Android

加密巨头 Huobi 泄露 AWS 凭证,“加密巨鲸”联系信息及账户余额等数据流出

个人专家

作者:phillips.technology 编译:Cointime Lu Tian

“该交易所多年来在公开的 S3 存储桶中存储含有 AWS 凭证的文件,从而使用户资产面临风险。”

作为全球最大的加密货币交易所之一,Huobi 近日秘密修复了一起可能导致公司云存储被访问的数据泄露事件。Huobi 不慎共享了一组凭证,赋予了对其所有 Amazon Web Services S3 存储桶的写入权限。

该公司利用 S3 存储桶来托管其内容分发网络(CDN)和网站。凭此泄露的凭证,任何人都有可能修改 huobi.com 和 hbfile.net 等域名上的内容。此外,Huobi 凭证的泄露还导致用户数据和内部文件的暴露。

针对 Huobi 的失误,攻击者可能有机会实施史上规模最大的加密货币盗窃。据先前报道,该公司的日交易量已超过 10 亿美元。

若 Huobi 未能采取行动,这一漏洞很可能会被用于窃取用户账户和资产。目前,该公司已删除了受感染的账户,用户不再面临风险。 

加密巨头 Huobi 泄露AWS凭证

在检查公开的Amazon Web Services (AWS) S3存储桶时,我发现了一个包含敏感AWS凭证的文件。经过深入研究,我确认这些凭证属实,而且该账户是Huobi的。  

  尽管Huobi删除了泄露事件中暴露的账户,但该公司未移除涉及的文件。这些凭证依然可以在线被任何人下载:http://local-jp-ex-test.s3.amazonaws.com/share_image/credentials

Huobi 已停用AWS凭证,但网络上仍保留副本

Huobi的所有用户都不会因为该文件持续在线而面临风险。

敏感文件公开两年

根据Amazon提供的元数据显示,Huobi在2021年6月意外发布了该文件。

这意味着该公司在过去两年时间里一直在分享生产环境的AWS凭证。

Huobi泄露的凭证允许访问私有存储

凭证的持有者可以完全访问Huobi的云存储桶。我有能力上传和删除Huobi所有S3存储桶中的文件。这尤为危险,因为Huobi大量依赖这些存储桶。

这些凭证有可能被用于修改和控制Huobi的许多域名。攻击者或许会利用Huobi的基础设施窃取用户账户和资产、传播恶意软件并感染移动设备。

目前没有证据显示有人利用此漏洞对Huobi发起攻击。

针对关键S3存储桶的写访问权限

为了评估此次违规行为的影响,我首先对所有可列出的内容进行了检查。总共发现了315个存储桶,其中不少是私有的。

Huobi AWS S3 存储桶部分存储桶与Huobi运营的网站和CDN共享名称。

例如,download.hbfile.net是一个CDN,托管了许多Huobi网站和应用程序所使用的内容。

Huobi AWS S3 存储桶接下来,我尝试向存储桶写入内容。我成功地在所有315个存储桶中写入和删除了文件。在下面的屏幕截图中,我将一个文件上传到Huobi用于存储和分发Android应用程序的CDN。

Huobi对CDN的写访问恶意用户可能会上传修改过的Huobi Android应用程序版本。

Amazon通过IAM角色控制对其云服务的访问。对于像Huobi这样的大公司,创建单一角色来管理其云存储并不罕见。但这种做法是不妥当的。

在多个团队中共享一个角色可能为攻击者提供广泛的访问权限。在这种情况下,我可以阅读机密报告、下载数据库备份,以及修改CDN和网站上的内容。我几乎完全掌控了Huobi业务各个方面的数据。

受违规影响的Huobi CDN和网站

可以说,此次违规行为最危险的方面在于它授权了对Huobi CDN和网站的写入权限。公司投入大量资金进行测试,以确保黑客无法获得对其基础设施的写入访问权限。然而令人沮丧的是,Huobi却泄露了类似的访问权限。

一旦攻击者可以写入CDN,就容易找到注入恶意脚本的机会。一旦CDN受到损害,所有链接到它的网站也可能受到影响。以Huobi的登录门户为例。

Huobi的美国登录页面从至少五个不同的CDN加载资源。我们重点关注上面红色的部分。这五个中的一个显然是一个存储桶,huobicfg.s3.amazonaws.com,因为URL包含字符串“s3.amazonaws.com”。

其他四个也对应于受损的存储桶。我能够让Cloudfront为无效请求生成详细的响应标头。标头显示hbfile.net域的部分内容由Cloudfront通过AmazonS3提供服务。

在这种情况下,Cloudfront充当中间人,将hbfile.com请求重定向到S3存储桶。我在受损存储桶列表中找到了五个CDN中的四个。

我可以在所有CDN上写入和删除文件。

一般来说,消费者很难检测到受损的CDN和网站。从用户的角度来看,他们正在访问一个值得信赖的网站。用户无法判断CDN上存储的文件是否已被更改。

对于反恶意软件,某些恶意脚本可能会被允许运行,因为它们是从正确的来源提供的。对于黑客来说,破坏CDN是将代码或恶意软件注入网站的最有效方法之一。

Huobi让恶意用户轻易接管他们的CDN和网站。据我所知,该公司运营的每个登录页面都可能受到此漏洞的影响。

在过去两年里,每个登录Huobi网站或应用程序的用户都可能面临失去账户的风险。

Huobi泄露的“鲸鱼报告”

此次违规行为还涉及隐私问题。使用Huobi泄露的凭证,我能够访问包含用户信息的客户关系管理(CRM)报告。

Huobi泄露有关加密鲸鱼的信息我发现的报告中有“加密鲸鱼”的联系信息和账户余额。鲸鱼是拥有大量加密货币的富裕用户,Huobi显然有兴趣与他们建立关系。

姓名、电话号码、电子邮件地址、账户信息等全部泄露

该公司似乎根据这些用户的市场影响力对他们进行排序。拥有更大影响市场能力的用户会获得更高的排名。

Huobi总共泄露了4960名用户的联系方式和账户信息。

Huobi OTC数据库曝光

Huobi泄露的另一组数据是场外交易(OTC)交易的数据库。许多交易所出于各种原因提供场外交易。场外交易此前一直存在争议。就在一周前,两家美国交易所自愿停止提供场外交易,以免面临更严格的审查。

Huobi OTC数据库备份压缩后为204.8GB解压后,数据库备份超过2TB,似乎包含了Huobi自2017年以来处理的每笔OTC交易。这可能是许多交易者关心的问题,因为OTC交易的好处之一就是增加隐私。

下面重点介绍了一些场外交易。自2017年以来,任何在Huobi进行场外交易的人都曾遭遇过此类信息泄露。

在上面的屏幕截图中,可以看到用户账户、交易详细信息和交易者的IP地址。完整的数据库包含数千万个这样的交易。

数据库中还有一些注释,可以让我们了解Huobi如何在幕后管理其场外交易平台。

{"name":"疑似跑分" , "id":190 , "root":"洗钱风险"}

Huobi泄露场外交易行为构成了对隐私的侵犯。他们保存的日志详细且敏感,应该更加小心地保证它们的安全。

Huobi公开的Confluence附件显示了其生产基础设施的内部运作情况。软件堆栈、云服务、内部服务器和其他敏感细节都已列出。

该文件已翻译这些文件与Huobi泄露的其他数据一样,现在都是安全的。

Utopo NFT 项目面临风险

受Huobi违规影响的最独特的CDN之一是Utopo区块链NFT。恶意用户可能会更改CDN上的JSON文件以编辑NFT。

Huobi比特币主宰NFT Utopo区块链NFT是区块链上JSON文件的链接。当JSON文件被修改时,它们会改变NFT的特征。在这种情况下,所有NFT都可以编辑,尽管我没有做任何更改。

这个NFT并没有被修改来注入恶意代码,它只是一个老虎机女士围绕NFT的安全风险仍在探索中。在某些情况下,可能会使用修改后的NFT将恶意代码注入浏览器、应用程序或游戏中。没有迹象表明这里发生过。

时间线

Huobi用户躲过一劫

由于Huobi等交易所的缺陷和漏洞,许多人失去了加密货币积蓄。这些交易所成为黑帽黑客的理想攻击目标,因为一个受损的交易所可能拥有数十万用户。只有当供应商和服务提供商尽职尽责时,加密货币才能更难以被窃取。

遗憾的是,在这种情况下,我们无法断言Huobi已经很好地完成了他们的工作。泄露自己的亚马逊凭证本身就足够糟糕,但花了数月才得到回应,尽管如此,Huobi仍选择将凭证留在网上。

另一方面,Huobi一直是最安全的加密货币交易所之一。然而,由于这样的违规行为,他们确实让该记录面临风险。

我已销毁所有与此次泄露相关的个人身份信息(PII)和敏感信息。

评论

所有评论

推荐阅读

  • IPO在即,灰度创始人Barry Silbert回归出任董事会主席

    Grayscale Investments 在提交保密 IPO 申请后,宣布四项高管任命并迎回创始人 Barry Silbert 担任董事会主席。新任命的高管包括:首席运营官 Diana Zhang、首席营销官拉蒙娜·波士顿 Ramona Boston、首席传讯官 Andrea Williams、首席人力资源官 Maxwell Rosenthal。四位高管都将向灰度首席执行官 Peter Mintzberg 汇报,他们均来自传统金融巨头,包括桥水基金、阿波罗全球管理、高盛和城堡投资。 Barry Silbert 于 2013 年创立灰度,于 2023 年底辞去灰度董事长一职,此次将接替 Mark Shifke 担任董事会主席,Shifke 将继续留任董事会,目前董事会成员已增至五人。公司表示正在考虑增加独立董事。 Barry Silbert 表示:「我很荣幸能够在公司乃至更广泛的数字资产生态系统的关键时刻重新加入灰度董事会。我始终坚信公司的长期定位以及引领公司前进的领导团队。」

  • SharpLink Gaming增持18,680枚以太坊,总持有498,884枚

    据链上分析师 Onchain Lens 监测,SharpLink Gaming(股票代码:SBET)今日再次增持18,680枚以太坊,价值约6,663万美元。此次增持后,该公司以太坊储备总量达到498,884枚,总价值约18亿美元。

  • Bullish向美国证交会提交IPO申请,拟募资6.29亿美元

    数字资产交易所Bullish及其子公司CoinDesk已向美国证券交易委员会(SEC)提交首次公开募股(IPO)申请。根据申请文件,Bullish计划发行2030万股,发行价区间为28-31美元/股,最高募资金额为6.29亿美元,对应公司估值约42亿美元。 Bullish业务范围包括数字资产现货交易、杠杆交易和衍生品交易,同时为稳定币发行机构提供流动性服务。财务数据显示,该公司2025年第一季度数字资产销售额达8020万美元,净亏损3.49亿美元。Bullish曾于2023年以7260万美元收购加密货币媒体平台CoinDesk。

  • 欧盟将对美国的贸易反制措施暂停6个月

    市场消息:欧盟将对美国的贸易反制措施暂停6个月

  • 去中心化操作系统 OpenMind 完成 2000 万美元融资,Pantera Capital 领投

    智能机器去中心化操作系统 OpenMind 宣布完成 2000 万美元融资,Pantera Capital 领投,Coinbase Ventures、Digital Currency Group 和 Ribbit 等参投。 据悉,这家初创公司正在开发一款名为 FABRIC 的“硬件无关”操作系统,旨在支持“智能机器融入日常生活”。该协议为支持人工智能的机器人提供了一种通信和协调的方式。

  • 加强个人境外收入监管 境外买卖股票收入也要缴税

    《金融时报》刊文,据了解,近期有纳税人收到了税务部门通知,告知其需要依法办理境外所得申报并缴纳相应税款。“根据我国个人所得税法,个人股票交易所得属于财产转让所得,应当适用20%的税率按次征收。其中,个人在境内二级市场的股票交易所得暂免征收个人所得税;在境外直接进行股票交易所得没有免税规定,需要在取得所得的次年申报纳税。”吉林财经大学税务学院院长张巍解释说。为了更加合理的征收,我国税务部门在征管时,允许纳税人按照纳税年度盈亏相抵,但不允许跨年互抵。依法纳税是每个公民应尽的义务。个人未申报或者未如实申报境外所得,除了会被税务机关要求补缴税款外,还会被加收滞纳金,情形严重的还可能被稽查部门立案检查,将面临税务处罚。纳税人如果发现自己此前申报个税时,存在少报、漏报境外所得的,要及时补正。

  • 美国SEC文件显示特斯拉批准向马斯克授予9600万股股票奖励

    美国SEC文件显示:特斯拉(TSLA.O)批准向马斯克授予9600万股股票奖励,马斯克将按每股23.34美元的价格购买已获授股票。

  • Binance Alpha:持有至少 200 币安 Alpha 积分的用户可申领 1000 个 DARK 代币空投

    据官方公告,Binance Alpha 是首个上线 DarkStar(DARK)的平台,Alpha 交易将于 2025 年 8 月 4 日 20:00(UTC+8)开始。 交易开始后,持有至少 200 个币安 Alpha 积分的用户可申领 1000 个 DARK 代币空投。先到先得。若活动未结束,则分数门槛将每小时自动降低 15 分。 请注意,申领空投将消耗 15 个币安 Alpha 积分。用户需在 Alpha 活动页面于 24 小时内确认申领,否则视为放弃领取空投。

  • 香港《稳定币条例》正式生效:储备资产须全额覆盖流通面值

    8月1日,香港《稳定币条例》正式生效,建立起稳定币发行人牌照制度,完善香港对虚拟资产活动的监管框架。大湾区国际资讯科技协会会长杨德斌表示,如今国际上稳定币的发展已经达到一定规模。香港在这个时点推出《稳定币条例》,是在监管方面与时俱进的体现。与国际标准接轨,中国香港在制定稳定币相关规定时也力求与全球其他国家和地区的标准接轨。根据香港《稳定币条例》,持牌人必须确保其发行的指定稳定币的储备资产的市值,始终不低于该类稳定币尚未赎回且流通中的面值。持牌人应考虑储备资产的风险状况,确保有适当的超额抵押以覆盖市场风险。

  • 印度暂停发布加密货币政策文件,因其他事项优先考虑

    印度尚未发布有关加密货币的讨论文件,原计划于9月份发布。重要事项,如本月的世界银行会议,已经成为制定印度加密货币政策立场的关键利益相关者咨询的优先事项。据两位知情人士透露,印度尚未发布有关加密货币的政策立场的讨论文件,因为官员们正在集中精力处理其他事务。最初预计将在与中央银行和市场监管机构等利益相关者的磋商后于9月份发布该文件。这些人士表示,出版意图仍然存在,但没有时间表,因为延迟尚未公开宣布。