火币加密货币交易所修复了泄露了数千名用户联系信息的漏洞

主要な暗号通貨取引所であるHuobiは、2年間にわたってユーザー資産を公開していたとされる深刻な脆弱性を静かに解決しました。

ホワイトハットハッカーであり研究者でもあるアーロン・フィリップスによれば、Huobiは2021年6月にAmazon Web Services（AWS）の資格情報を含むファイルを誤って公開し、4,960人の「暗号通貨の巨鯨」と内部文書の連絡先や口座情報が漏洩したとされています。

フィリップスは自身のブログで、もし攻撃者によって悪用された場合、このデータ侵害は「史上最大の暗号通貨の窃盗事件」になり得たと書きました。

「誰でもhuobi.comやhbfile.netなどのドメイン上のコンテンツを変更するために資格情報を使用することができました」とフィリップスは付け加えました。「Huobiのビジネスのほとんどの側面について私は完全な制御を持っていました。」

フィリップスは最初に2022年6月にリークをHuobiに通知し、リークに対処するために取引所からの回答を受けるまで5ヶ月かかり、最終的に2023年6月にHuobiは資格情報を取り消しました。

侵害の中で最も「危険な」側面は、Huobiのコンテンツ配信ネットワーク（CDN）およびウェブサイトへの書き込み権限へのアクセスでした。

「攻撃者がCDNに書き込むことができれば、悪意のあるスクリプトを注入する機会を見つけることは容易です。そしてCDNが侵害されると、それにリンクしているすべてのサイトも潜在的に侵害される可能性があります。」

Huobiはついに侵害されたアカウントを削除し、2022年6月20日にその冷たい保管を確保しました。

フィリップスはまた、Huobiのリークが2017年以来のオーバーザカウンター（OTC）取引のデータベースを公開し、ユーザーアカウントの詳細、取引詳細、およびトレーダーのIPアドレスを含む2TBのダウンロード可能なファイルを漏洩させたと主張しました。

さらに、侵害によってHuobiの製品インフラの内部構造が明らかにされ、同社のNFTプロジェクト「Utopo」のJSONファイルを変更するためのアクセスも提供されました。

Huobiは侵害が「そんなに悪くない」と主張しています

Huobiは6月1日の回答で、フィリップスが言及したOTCデータの漏洩は「実際にはテストデータであり、本物ではない」と述べました。漏洩には4000人のユーザー情報が関与しています。

Huobiの回答によると、データの漏洩は「Huobi日本のAWSサイトのテスト環境におけるS3バケットに関連する人員の不適切な操作によるものでした。関連するユーザー情報は2022年10月8日に完全に分離されました。」

また、Huobiは漏洩が機密情報を含まず、ユーザーアカウントや資金の安全に影響を与えないとも否定しました。

Huobiはコメントの要請に即座に応答しませんでした。