火币加密交易所修复了泄露了数千名用户联系信息的漏洞
主要的加密货币交易所火币已经悄然解决了一项据称在两年内曝露用户资产的严重漏洞。
根据白帽黑客和研究员亚伦·菲利普斯(Aaron Phillips)的说法,火币在2021年6月意外发布了一个包含亚马逊网络服务(AWS)凭证的文件,该文件泄漏了4960个“加密货币鲸鱼”和内部文件的联系和账户信息。
菲利普斯在他的博客中写道,如果这个漏洞被攻击者利用,数据泄漏可能会成为“历史上规模最大的加密货币盗窃事件”。
- 法律事务所向Voyager债权人收取510万美元的费用(3月至5月)
- 尽管Revolut计划将Cardano、Solana和Polygon撤销上市,但它们仍有所涨
- 加密货币分析师揭示了莱特币可能的下一个价格走势
“任何人都可以使用这些凭证来修改huobi.com和hbfile.net等域名上的内容,”菲利普斯补充道。“我可以完全控制火币业务的几乎每个方面的数据。”
菲利普斯于2022年6月首次通知火币有关泄漏事件,并花费了五个月的时间才收到火币的回应,并在2023年6月吊销了凭证。
这次泄漏最“危险”的一点是涉及到火币内容分发网络(CDN)和网站的写权限。
“一旦攻击者能够写入CDN,他们就很容易找到注入恶意脚本的机会。一旦CDN被攻破,所有链接到它的网站都有可能受到影响。”
火币最终删除了泄漏的账户,于6月20日保护了其冷存储。
菲利普斯还声称,火币的泄漏暴露了自2017年以来的场外交易(OTC)数据库。该数据库中包含了用户账户、交易详情以及交易者的IP地址,文件大小为2TB。
此外,这次泄漏还揭示了火币生产基础设施的内部运作,并提供了修改该公司NFT项目Utopo的JSON文件的权限。
火币坚称泄漏“并不严重”
火币在6月1日的回应中表示,菲利普斯提到的OTC数据泄露是“不真实的,只是测试数据”。泄漏涉及的用户信息只有4000个。
根据火币对该事件的回应,这次数据泄漏是“由于火币日本AWS站点测试环境的相关人员操作不当导致的。相关用户信息已于2022年10月8日彻底隔离。”
该交易所还否认泄漏涉及敏感信息,不会影响用户账户和资金安全。
火币尚未立即回应置评请求。
We will continue to update 算娘; if you have any questions or suggestions, please contact us!
Was this article helpful?
93 out of 132 found this helpful
Related articles