Huobi Crypto Exchange نقض نقض اطلاعات تماس هزاران کاربر را برطرف کرد

صرافی بزرگ کریپتو Huobi بی‌صدا یک آسیب‌پذیری عظیم را که گفته می‌شود دارایی‌های کاربران را به مدت دو سال در معرض دید قرار می‌داد، برطرف کرده است.

به گفته آرون فیلیپس، محقق و هکر کلاه سفید، هوبی به طور تصادفی فایلی حاوی اعتبارنامه خدمات وب آمازون (AWS) را در ژوئن 2021 منتشر کرد که اطلاعات تماس و حساب 4960 “نهنگ رمزنگاری” و اسناد داخلی را به بیرون درز کرد.

فیلیپس در وبلاگ خود نوشت، نقض داده‌ها به راحتی می‌توانست «بزرگ‌ترین سرقت رمزنگاری در تاریخ» باشد، اگر توسط یک مهاجم مورد سوء استفاده قرار می‌گرفت.

فیلیپس افزود: “هرکسی می توانست از اعتبارنامه ها برای اصلاح محتوا در دامنه های huobi.com و hbfile.net استفاده کند.” “من کنترل کامل بر داده ها از تقریباً هر جنبه از تجارت Huobi داشتم.”

فیلیپس برای اولین بار در ژوئن 2022 به Huobi اطلاع داد و پنج ماه طول کشید تا پاسخی از صرافی دریافت کند تا در مورد این نشت اقدام کند، قبل از اینکه Huobi اعتبار خود را در ژوئن 2023 لغو کند.

“خطرناک ترین” جنبه نقض شامل دسترسی به امتیازات نوشتن به شبکه های تحویل محتوای Huobi (CDN) و وب سایت ها بود.

زمانی که یک مهاجم می‌تواند در یک CDN بنویسد، پیدا کردن فرصتی برای تزریق اسکریپت‌های مخرب امری بی‌اهمیت است. و هنگامی که یک CDN به خطر بیفتد، تمام سایت هایی که به آن لینک می دهند نیز به طور بالقوه در معرض خطر قرار می گیرند.

Huobi در نهایت اکانت در معرض خطر را حذف کرد و بدین ترتیب در 20 ژوئن فضای سرد آن را ایمن کرد.

فیلیپس همچنین ادعا کرد که نشت Huobi یک پایگاه داده از معاملات خارج از بورس (OTC) را از سال 2017 فاش کرد. این پایگاه داده دارای جزئیات حساب های کاربری، جزئیات تراکنش و آدرس IP معامله گران در یک فایل 2 ترابایتی قابل دانلود است.

علاوه بر این، این نقض، عملکرد داخلی زیرساخت تولید Huobi را آشکار کرد و به فایل‌های JSON تغییر یافته پروژه NFT این شرکت – Utopo دسترسی پیدا کرد.

Huobi نقض “بد نبود” را حفظ می کند

Huobi در پاسخی در 1 ژوئن گفت که نقض داده OTC که توسط فیلیپس ذکر شده است “واقعی نیست، بلکه داده های آزمایشی است.” درز اطلاعات تنها شامل اطلاعات کاربر 4000 کاربر است.

با توجه به پاسخ Huobi به این حادثه، نقض داده ها “به دلیل عملیات نامناسب توسط پرسنل مربوط به سطل S3 در محیط تست سایت Huobi ژاپنی AWS رخ داده است. اطلاعات کاربر مربوطه در 8 اکتبر 2022 کاملاً جدا شد.

صرافی همچنین این موضوع را رد کرد که درز اطلاعات حساس را شامل نمی شود و بر حساب های کاربری و امنیت صندوق تأثیر نمی گذارد.

Huobi بلافاصله به درخواست برای اظهار نظر پاسخ نداد.