火币加密交易所修复了泄露了数千名用户联系信息的漏洞

主要的加密货币交易所火币已经悄然解决了一项据称在两年内曝露用户资产的严重漏洞。

根据白帽黑客和研究员亚伦·菲利普斯(Aaron Phillips)的说法,火币在2021年6月意外发布了一个包含亚马逊网络服务(AWS)凭证的文件,该文件泄漏了4960个“加密货币鲸鱼”和内部文件的联系和账户信息。

菲利普斯在他的博客中写道,如果这个漏洞被攻击者利用,数据泄漏可能会成为“历史上规模最大的加密货币盗窃事件”。

“任何人都可以使用这些凭证来修改huobi.com和hbfile.net等域名上的内容,”菲利普斯补充道。“我可以完全控制火币业务的几乎每个方面的数据。”

菲利普斯于2022年6月首次通知火币有关泄漏事件,并花费了五个月的时间才收到火币的回应,并在2023年6月吊销了凭证。

这次泄漏最“危险”的一点是涉及到火币内容分发网络(CDN)和网站的写权限。

“一旦攻击者能够写入CDN,他们就很容易找到注入恶意脚本的机会。一旦CDN被攻破,所有链接到它的网站都有可能受到影响。”

火币最终删除了泄漏的账户,于6月20日保护了其冷存储。

菲利普斯还声称,火币的泄漏暴露了自2017年以来的场外交易(OTC)数据库。该数据库中包含了用户账户、交易详情以及交易者的IP地址,文件大小为2TB。

此外,这次泄漏还揭示了火币生产基础设施的内部运作,并提供了修改该公司NFT项目Utopo的JSON文件的权限。

火币坚称泄漏“并不严重”

火币在6月1日的回应中表示,菲利普斯提到的OTC数据泄露是“不真实的,只是测试数据”。泄漏涉及的用户信息只有4000个。

根据火币对该事件的回应,这次数据泄漏是“由于火币日本AWS站点测试环境的相关人员操作不当导致的。相关用户信息已于2022年10月8日彻底隔离。”

该交易所还否认泄漏涉及敏感信息,不会影响用户账户和资金安全。

火币尚未立即回应置评请求。

We will continue to update 算娘; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more

区块链

Grayscale正式放弃合并后的PoW以太坊代币

“在合并之后的一年多时间里,Grayscale无可撤销地放弃了对以工作证明为基础的以太坊代币的所有权利”

资讯

以太坊交易者展现出强烈信心,价值9.06亿美元的ETH已从交易所提取

最近的交易数据显示出以太坊交易者持续积极的展望根据IntoTheBlock的数据,令人瞩目的是,已经支取了价值达到9.06亿美元的以...

区块链

Unstoppable Domains推出XMTP即时通讯

新功能使用可扩展的消息传输协议(XMTP)来加密和发送消息

比特币

今天在DEXTools上的最大加密货币赢家——SIFY、FTX、SOLANA

最新的美国第三季度强劲、超出预期的国内生产总值数据,也指出上个季度的通胀情况高于预期,对于影响并不大

DeFi

Avalanche桥连接以太坊的价值转移下降70%,对AVAX价格的担忧?

DeFiLlama于5月31日的数据显示,过去24小时内通过Avalanche桥流动的资金总额下降了70%。