Cointime

扫码下载App
iOS & Android

加密巨头 Huobi 泄露 AWS 凭证,“加密巨鲸”联系信息及账户余额等数据流出

个人专家

作者:phillips.technology 编译:Cointime Lu Tian

“该交易所多年来在公开的 S3 存储桶中存储含有 AWS 凭证的文件,从而使用户资产面临风险。”

作为全球最大的加密货币交易所之一,Huobi 近日秘密修复了一起可能导致公司云存储被访问的数据泄露事件。Huobi 不慎共享了一组凭证,赋予了对其所有 Amazon Web Services S3 存储桶的写入权限。

该公司利用 S3 存储桶来托管其内容分发网络(CDN)和网站。凭此泄露的凭证,任何人都有可能修改 huobi.com 和 hbfile.net 等域名上的内容。此外,Huobi 凭证的泄露还导致用户数据和内部文件的暴露。

针对 Huobi 的失误,攻击者可能有机会实施史上规模最大的加密货币盗窃。据先前报道,该公司的日交易量已超过 10 亿美元。

若 Huobi 未能采取行动,这一漏洞很可能会被用于窃取用户账户和资产。目前,该公司已删除了受感染的账户,用户不再面临风险。 

加密巨头 Huobi 泄露AWS凭证

在检查公开的Amazon Web Services (AWS) S3存储桶时,我发现了一个包含敏感AWS凭证的文件。经过深入研究,我确认这些凭证属实,而且该账户是Huobi的。  

  尽管Huobi删除了泄露事件中暴露的账户,但该公司未移除涉及的文件。这些凭证依然可以在线被任何人下载:http://local-jp-ex-test.s3.amazonaws.com/share_image/credentials

Huobi 已停用AWS凭证,但网络上仍保留副本

Huobi的所有用户都不会因为该文件持续在线而面临风险。

敏感文件公开两年

根据Amazon提供的元数据显示,Huobi在2021年6月意外发布了该文件。

这意味着该公司在过去两年时间里一直在分享生产环境的AWS凭证。

Huobi泄露的凭证允许访问私有存储

凭证的持有者可以完全访问Huobi的云存储桶。我有能力上传和删除Huobi所有S3存储桶中的文件。这尤为危险,因为Huobi大量依赖这些存储桶。

这些凭证有可能被用于修改和控制Huobi的许多域名。攻击者或许会利用Huobi的基础设施窃取用户账户和资产、传播恶意软件并感染移动设备。

目前没有证据显示有人利用此漏洞对Huobi发起攻击。

针对关键S3存储桶的写访问权限

为了评估此次违规行为的影响,我首先对所有可列出的内容进行了检查。总共发现了315个存储桶,其中不少是私有的。

Huobi AWS S3 存储桶部分存储桶与Huobi运营的网站和CDN共享名称。

例如,download.hbfile.net是一个CDN,托管了许多Huobi网站和应用程序所使用的内容。

Huobi AWS S3 存储桶接下来,我尝试向存储桶写入内容。我成功地在所有315个存储桶中写入和删除了文件。在下面的屏幕截图中,我将一个文件上传到Huobi用于存储和分发Android应用程序的CDN。

Huobi对CDN的写访问恶意用户可能会上传修改过的Huobi Android应用程序版本。

Amazon通过IAM角色控制对其云服务的访问。对于像Huobi这样的大公司,创建单一角色来管理其云存储并不罕见。但这种做法是不妥当的。

在多个团队中共享一个角色可能为攻击者提供广泛的访问权限。在这种情况下,我可以阅读机密报告、下载数据库备份,以及修改CDN和网站上的内容。我几乎完全掌控了Huobi业务各个方面的数据。

受违规影响的Huobi CDN和网站

可以说,此次违规行为最危险的方面在于它授权了对Huobi CDN和网站的写入权限。公司投入大量资金进行测试,以确保黑客无法获得对其基础设施的写入访问权限。然而令人沮丧的是,Huobi却泄露了类似的访问权限。

一旦攻击者可以写入CDN,就容易找到注入恶意脚本的机会。一旦CDN受到损害,所有链接到它的网站也可能受到影响。以Huobi的登录门户为例。

Huobi的美国登录页面从至少五个不同的CDN加载资源。我们重点关注上面红色的部分。这五个中的一个显然是一个存储桶,huobicfg.s3.amazonaws.com,因为URL包含字符串“s3.amazonaws.com”。

其他四个也对应于受损的存储桶。我能够让Cloudfront为无效请求生成详细的响应标头。标头显示hbfile.net域的部分内容由Cloudfront通过AmazonS3提供服务。

在这种情况下,Cloudfront充当中间人,将hbfile.com请求重定向到S3存储桶。我在受损存储桶列表中找到了五个CDN中的四个。

我可以在所有CDN上写入和删除文件。

一般来说,消费者很难检测到受损的CDN和网站。从用户的角度来看,他们正在访问一个值得信赖的网站。用户无法判断CDN上存储的文件是否已被更改。

对于反恶意软件,某些恶意脚本可能会被允许运行,因为它们是从正确的来源提供的。对于黑客来说,破坏CDN是将代码或恶意软件注入网站的最有效方法之一。

Huobi让恶意用户轻易接管他们的CDN和网站。据我所知,该公司运营的每个登录页面都可能受到此漏洞的影响。

在过去两年里,每个登录Huobi网站或应用程序的用户都可能面临失去账户的风险。

Huobi泄露的“鲸鱼报告”

此次违规行为还涉及隐私问题。使用Huobi泄露的凭证,我能够访问包含用户信息的客户关系管理(CRM)报告。

Huobi泄露有关加密鲸鱼的信息我发现的报告中有“加密鲸鱼”的联系信息和账户余额。鲸鱼是拥有大量加密货币的富裕用户,Huobi显然有兴趣与他们建立关系。

姓名、电话号码、电子邮件地址、账户信息等全部泄露

该公司似乎根据这些用户的市场影响力对他们进行排序。拥有更大影响市场能力的用户会获得更高的排名。

Huobi总共泄露了4960名用户的联系方式和账户信息。

Huobi OTC数据库曝光

Huobi泄露的另一组数据是场外交易(OTC)交易的数据库。许多交易所出于各种原因提供场外交易。场外交易此前一直存在争议。就在一周前,两家美国交易所自愿停止提供场外交易,以免面临更严格的审查。

Huobi OTC数据库备份压缩后为204.8GB解压后,数据库备份超过2TB,似乎包含了Huobi自2017年以来处理的每笔OTC交易。这可能是许多交易者关心的问题,因为OTC交易的好处之一就是增加隐私。

下面重点介绍了一些场外交易。自2017年以来,任何在Huobi进行场外交易的人都曾遭遇过此类信息泄露。

在上面的屏幕截图中,可以看到用户账户、交易详细信息和交易者的IP地址。完整的数据库包含数千万个这样的交易。

数据库中还有一些注释,可以让我们了解Huobi如何在幕后管理其场外交易平台。

{"name":"疑似跑分" , "id":190 , "root":"洗钱风险"}

Huobi泄露场外交易行为构成了对隐私的侵犯。他们保存的日志详细且敏感,应该更加小心地保证它们的安全。

Huobi公开的Confluence附件显示了其生产基础设施的内部运作情况。软件堆栈、云服务、内部服务器和其他敏感细节都已列出。

该文件已翻译这些文件与Huobi泄露的其他数据一样,现在都是安全的。

Utopo NFT 项目面临风险

受Huobi违规影响的最独特的CDN之一是Utopo区块链NFT。恶意用户可能会更改CDN上的JSON文件以编辑NFT。

Huobi比特币主宰NFT Utopo区块链NFT是区块链上JSON文件的链接。当JSON文件被修改时,它们会改变NFT的特征。在这种情况下,所有NFT都可以编辑,尽管我没有做任何更改。

这个NFT并没有被修改来注入恶意代码,它只是一个老虎机女士围绕NFT的安全风险仍在探索中。在某些情况下,可能会使用修改后的NFT将恶意代码注入浏览器、应用程序或游戏中。没有迹象表明这里发生过。

时间线

Huobi用户躲过一劫

由于Huobi等交易所的缺陷和漏洞,许多人失去了加密货币积蓄。这些交易所成为黑帽黑客的理想攻击目标,因为一个受损的交易所可能拥有数十万用户。只有当供应商和服务提供商尽职尽责时,加密货币才能更难以被窃取。

遗憾的是,在这种情况下,我们无法断言Huobi已经很好地完成了他们的工作。泄露自己的亚马逊凭证本身就足够糟糕,但花了数月才得到回应,尽管如此,Huobi仍选择将凭证留在网上。

另一方面,Huobi一直是最安全的加密货币交易所之一。然而,由于这样的违规行为,他们确实让该记录面临风险。

我已销毁所有与此次泄露相关的个人身份信息(PII)和敏感信息。

评论

所有评论

推荐阅读

  • 习近平宣布中国支持全球人工智能发展重大举措

    7月17日上午,国家主席习近平在上海世界会客厅出席2026世界人工智能大会暨人工智能全球治理高级别会议开幕式并发表主旨讲话。 习近平指出,在各方共同努力下,世界人工智能合作组织在上海应运而生。这是中方响应全球南方呼声、团结国际社会积极推动人工智能发展和治理的重大举措,将成为人工智能发展史上的一个重要里程碑。 习近平宣布,为进一步支持全球人工智能发展、推进全球人工智能能力建设,未来5年,中国将面向发展中国家提供5000个人工智能专题研修培训名额;面向东盟、阿盟、非盟、拉共体、上合组织、金砖国家建设国际人工智能应用合作中心;推动气象智能预警方案“妈祖”在30个国家落地应用,守望万家灯火,护佑四海安澜。

  • 美国现货以太坊ETF昨日净流出2800万美元

    7月17日,据Farside Investors监测数据,美国现货以太坊ETF昨日净流出2800万美元。

  • 美国现货比特币ETF昨日净流入7910万美元

    7月17日,据Farside Investors监测数据,美国现货比特币ETF昨日净流入7910万美元。

  • 胡塞警告沙特:若再侵略 所有石油设施将成目标

    7月16日,胡塞武装:如果沙特再次对也门进行全面侵略并升级,所有沙特的石油和重要设施将成为我们导弹的目标。(金十)

  • 超百名美国民主党议员反对向以色列提供援助

    当地时间15日,美国国会众议院就一项旨在切断美国对以色列援助的修正案进行表决,103名民主党籍议员投了赞成票。其中,众议员华金·卡斯特罗在陈述其支持理由时表示,以色列一再开战、持续扩张,已走上一条不堪的道路。(央视)

  • 英伟达(NVDA.O)跌超3%

    7月16日,英伟达跌幅扩大至3%。消息面上,美国国际贸易委员会(ITC)7月15日决定对特定动态随机存取存储器(DRAM)设备及其下游产品和组件启动337调查,涉及三星电子、谷歌、英伟达、超微电脑、博通等公司。

  • 以色列总统:伊朗的核能力是这场战争的根源

    以色列总统:伊朗的核能力是这场战争的根源,任何协议都必须包含明确条件,以防止德黑兰发展核能力或将霍尔木兹海峡用作筹码。(金十)

  • 胡塞警告沙特:若再侵略 所有石油设施将成目标

    7月16日,胡塞武装:如果沙特再次对也门进行全面侵略并升级,所有沙特的石油和重要设施将成为我们导弹的目标。(金十)

  • 美以同盟关系正出现“结构性裂痕”

    以色列前驻美大使Alon Pinkas表示,美国副总统JD·万斯公开抨击以色列破坏美伊谈判的言论,其“严厉程度前所未有”。Pinkas表示,“从未有在任美国副总统如此公开指责以色列发动旨在削弱美国政策的运动。过去虽有分歧和摩擦,但在任副总统如此激烈、明确且直白地反对以色列针对美国的游说施压,确实史无前例……这相当令人震惊。”Pinkas指出,这一事件表明美以两国目前立场并不一致。他补充道,盟友间围绕对伊战争日益加剧的摩擦,从以色列角度而言极为堪忧,并反映出两国关系的“结构性转变”。 同样史无前例的,是半数民主党议员投票支持终止对以色列的援助。若在两年前问任何一位华盛顿圈内人士,他们都会断言绝无可能——但这一投票结果清晰地折射出民主党的显著转向。在众议院212名民主党人中,103人投票支持取消以色列每年33亿美元的援助款项。仅有一名共和党人跟随民主党投下赞成票。因此,真正的焦点在于特朗普将如何回应。据信他上周曾与以色列总理内塔尼亚胡通电话,表示以色列军队是时候从黎巴嫩和叙利亚撤离了。但随后以色列国防部长公开表态拒绝撤军。面对这番近乎公然违抗总统意愿的立场,白宫将如何出牌?答案或将很快揭晓。(金十)

  • 甲骨文创始人因与特朗普的“腐败”华纳兄弟交易遭起诉

    7月16日,一名股东起诉了拉里·埃里森(甲骨文创始人)、其子大卫·埃里森以及派拉蒙天舞公司(Paramount Skydance Corp.)董事会的其他成员,试图阻止其1100亿美元收购华纳兄弟探索公司(WBD)的交易。诉讼指控埃里森父子与美国总统特朗普达成了非法交易,承诺提供“非法私人利益”以消除联邦监管障碍,其中包括可能解雇CNN的新闻主播。