【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例

全球最大的加密货币交易所之一火币悄然修复了一个数据泄露事件,该泄露事件可能导致该公司的云存储被访问。火币无意中共享了一组凭证,授予其所有 Amazon Web Services S3 存储桶写入权限。

该公司使用 S3 存储桶来托管其 CDN 和网站。任何人都可以使用这些凭据来修改 huobi.com 和 hbfile.net 域等上的内容。火币凭证泄露还导致用户数据和内部文件曝光。

利用火币的错误的攻击者将有机会进行历史上最大的加密货币盗窃。该公司此前报道称每天的交易量超过 10 亿美元。

如果火币没有采取行动,这一漏洞可能会被用来窃取用户账户和资产。该公司删除了受感染的帐户,其用户不再面临风险。

加密巨头火币泄露 AWS 凭证

在我检查开放的 Amazon Web Services (AWS) S3 存储桶时,我发现了一个包含 AWS 凭证的敏感文件。经过一番研究,我发现凭证是真实的,并且该帐户属于火币。

尽管火币删除了泄露事件中暴露的账户,但该公司尚未删除该文件。这些凭证仍然可以在线供任何人下载:http://local-jp-ex-test.s3.amazonaws.com/share_image/credentials

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第1张图片

火币的所有用户都不会因该文件的持续可用性而面临风险。

敏感文件共享两年

根据亚马逊分配的元数据,火币于 2021 年 6 月意外发布了该文件。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第2张图片

这意味着该公司在大约两年的时间里一直在共享生产 AWS 凭证。完整的时间表位于文章末尾。

火币泄露获准访问私人存储

下载凭证的每个人都可以完全访问火币的云存储桶。我能够上传和删除火币所有 S3 存储桶中的文件。这是特别危险的,因为火币大量使用了存储桶。

这些凭证可能被用来修改和控制火币的许多域名。攻击者可能会利用火币的基础设施窃取用户帐户和资产、传播恶意软件并感染移动设备。

没有迹象表明有人利用这一漏洞对火币进行攻击。

对关键 S3 存储桶的写访问权限

为了评估这次违规行为的影响,我首先列出了所有可以列出的内容。我发现总共有 315 个,其中许多是私人的。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第3张图片

其中一些存储桶与火币运营的网站和 CDN 共享名称。例如,download.hbfile.net是一个 CDN,托管许多火币网站和应用程序使用的内容。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第4张图片

接下来,我尝试写入存储桶。我能够在所有 315 个存储桶中写入和删除文件。在下面的屏幕截图中,我将一个文件上传到火币用来存储和分发 Android 应用程序的 CDN。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第5张图片

恶意用户可能上传了火币 Android 应用程序的修改版本。

Amazon 使用 IAM 角色来控制对其云服务的访问。对于火币这样的大公司来说,创建单一角色来管理其云存储的情况并不罕见。但这种方法是一种糟糕的方法。

在多个团队中共享一个角色可以为攻击者提供大量访问权限。在这种情况下,我可以阅读机密报告、下载数据库备份以及修改 CDN 和网站上的内容。我完全掌控了火币业务几乎各个方面的数据。

受违规影响的火币 CDN 和网站

可以说,这次违规行为最危险的方面是它授予了火币 CDN 和网站的写入权限。公司花费大量资金进行测试,以确保黑帽黑客无法获得对该基础设施的写入访问权限。令人沮丧的是,火币竟然会泄露同样的访问权限。

一旦攻击者可以写入 CDN,就很容易找到注入恶意脚本的机会。一旦 CDN 受到损害,链接到它的所有网站也可能受到损害。以火币的登录门户为例。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第6张图片

火币的美国登录页面从至少五个不同的 CDN 加载资源。让我们重点关注上面红色的部分。这五个中的一个显然是一个存储桶,huobicfg.s3.amazonaws.com,因为 URL 包含字符串“s3.amazonaws.com”

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第7张图片

但其他四个也对应于受损的存储桶。我能够让 Cloudfront 为无效请求生成详细的响应标头。标头显示 hbfile.net 域的部分内容由 Cloudfront 通过 AmazonS3 提供服务。

在这种情况下,Cloudfront 充当中间人,将 hbfile.com 请求重定向到 S3 存储桶。我在受损存储桶列表中找到了五个 CDN 中的四个。

我可以在所有 CDN 上写入和删除文件。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第8张图片

一般来说,消费者很难检测到受损的 CDN 和网站。从用户的角度来看,他们正在访问一个可信的网站。用户无法判断 CDN 上存储的文件是否已被更改。

对于反恶意软件,某些恶意脚本可能会被允许运行,因为它们是从正确的源提供的。对于黑帽黑客来说,破坏 CDN 是将代码或恶意软件注入网站的最有效方法之一。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第9张图片

火币让恶意用户很容易接管他们的 CDN 和网站。据我所知,该公司运营的每个登录页面都会受到此漏洞的影响。

两年来,每个登录火币网站或应用程序的用户都可能面临失去账户的风险。

火币泄露富裕用户的“鲸鱼报告”

此次违规行为还涉及隐私问题。使用火币泄露的凭证,我能够访问包含用户信息的客户关系管理(CRM)报告。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第10张图片

我发现的报告中有“加密鲸鱼”的联系信息和账户余额。鲸鱼是拥有大量加密货币的富裕用户,火币显然有兴趣与他们建立关系。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第11张图片

该公司似乎根据这些用户的能力级别对他们进行排序。拥有更大影响市场能力的用户会获得更高的排名。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第12张图片

火币总共泄露了 4,960 名用户的联系方式和账户信息。

火币OTC数据库曝光

火币泄露曝光的另一组数据。是场外交易 (OTC) 交易的数据库。许多交易所出于各种原因提供场外交易。场外交易此前一直存在争议。就在一周前,两家美国交易所自愿停止提供场外交易,以免面临更严格的审查。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第13张图片

解压后,数据库备份超过 2TB,似乎包含了火币自 2017 年以来处理的每笔 OTC 交易。这可能是许多交易者关心的问题,因为 OTC 交易的好处之一就是增加隐私。

下面重点介绍了一些场外交易。自 2017 年以来,任何在火币进行场外交易的人都曾遭遇过此类信息泄露。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第14张图片

在上面的屏幕截图中,可以看到用户帐户、交易详细信息和交易者的 IP 地址。完整的数据库包含数千万个这样的交易。

数据库中还有一些注释,可以让我们了解火币如何在幕后管理其场外交易平台。

{"name":"Suspected running score" , "id":190 , "root":"Money laundering risk"}

火币泄露场外交易行为构成了对隐私的侵犯。他们保存的日志详细且敏感,应该更加小心地保证它们的安全。

文档详细介绍了火币的基础设施

火币泄露了有关自己及其用户的信息。火币公开的Confluence附件显示了其生产基础设施的内部运作情况。软件堆栈、云服务、内部服务器和其他敏感细节都已列出。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第15张图片

这些文件与火币泄露的其他数据一样,现在都是安全的。

Utopo NFT 项目面临风险

受火币违规影响的最独特的 CDN 之一是 Utopo 区块链 NFT。恶意用户可能会更改 CDN 上的 JSON 文件以编辑 NFT。

NFT 是区块链上 JSON 文件的链接。当 JSON 文件被修改时,它们会改变 NFT 的特征。在这种情况下,所有 NFT 都可以编辑,尽管我没有做任何更改。

【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例_第16张图片

围绕 NFT 的安全风险仍在探索中。在某些情况下,可能会使用修改后的 NFT 将恶意代码注入浏览器、应用程序或游戏中。没有任何迹象表明这里发生过。

时间线

这是事件的完整时间表:

事件 日期
火币不小心与 AWS 凭证共享文件 2021 年 6 月 22 日
发现了泄露的凭证并确认它们是有效的 2022 年 6 月 9 日
开始研究评估泄漏的影响 2022 年 6 月 10 日
已通知火币违规行为 2022 年 6 月 12 日
开始定期尝试通过我在VPNOverview.com的前团队联系火币 2022 年 8 月 12 日
收到火币的回复,承诺关闭漏洞 2022 年 11 月 11 日
无法确认火币已撤销泄露的凭证 2022 年 12 月 15 日
恢复尝试通过我在VPNOverview.com的前团队联系火币 2023 年 1 月 9 日
使用我在Zendesk上找到的表格联系了火币 2023 年 6 月 20 日
确认火币已撤销泄露的凭证 2023 年 6 月 20 日

最终,火币撤销了这些凭证并保护了他们的云存储。

火币用户侥幸逃过一劫

由于火币等交易所的缺陷和漏洞,太多人失去了加密货币积蓄。它们是黑帽黑客的逻辑攻击点,因为单个受损的交易所可能拥有数十万用户。当供应商和服务提供商做好自己的工作时,加密货币就很难被窃取。

不幸的是,在这种情况下,我不能断定火币已经很好地完成了他们的工作。泄露自己的亚马逊凭证已经够糟糕的了,但花了几个月的时间才得到回应,即便如此,火币还是选择将凭证留在网上。

另一方面,火币网一直是最安全的加密货币交易所之一。但由于这样的违规行为,他们确实使该记录处于危险之中。

你可能感兴趣的:(云安全,aws,云计算,安全,云原生)