화이트 해커 공개: 후오비는 2021년에 대규모로 OTC 거래 정보, 대형 고객 정보, 고객 정보, 내부 기술 구조 등을 유출했습니다

저자: 아론 필립스

편집: 우설 블록체인 (후오비는 실제 유출이 발생하지 않았다고 응답, 화이트 해커가 다운로드함)

최근 사용자들이 화이트 해커의 이메일을 받았고, 내용은 다음과 같습니다:

안녕하세요, 저는 아론입니다. 이메일을 드리는 이유는 귀하의 일부 개인 정보가 인터넷에 공개되었다는 것을 알려드리기 위해서입니다. 저는 이 문제를 보고하였고, 그것이 수정되었음을 확인했습니다. 귀하의 정보는 더 이상 온라인에 없습니다. (우설 편집: 이 정보가 다른 사람에 의해 다운로드되거나 거래되었는지 확인할 수 없습니다)

암호화폐 거래소 후오비는 최근 데이터 유출 사건에서 "고래 보고서"를 우연히 유출했습니다. 이 보고서에는 귀하가 후오비에 등록할 때 제공한 이름, 전화번호, 주소 및 이메일 주소가 포함되어 있습니다. 그들은 또한 지갑 잔액 및 귀하의 자산에 대한 정보도 포함하고 있습니다.

원문은 다음과 같으며, 기사 내용은 느린 안개에 의해 "화이트 해커의 책임 있는 정상 공개"로 확인되었습니다:

https://phillips.technology/blog/huobi-crypto-aws/

phillips.technology는 화이트 해커, 시민 기자 및 소비자 옹호자인 아론 필립스의 개인 웹사이트입니다. 아론 필립스는 4년의 사이버 보안 경험과 20년의 IT 경험을 가진 미국 전문가입니다. 그의 작업은 주로 소비자를 데이터 유출 및 보안 취약점으로부터 보호하는 데 중점을 두며, 그의 작업 결과는 세계에서 가장 인기 있는 기술 뉴스 웹사이트 중 일부에 보도되었습니다. 그의 전문 분야는 모바일 및 웹 애플리케이션 보안, 클라우드 보안 및 네트워크 침투 테스트입니다.

후오비의 응답:

사건은 2021년 6월 22일 일본 사이트 테스트 환경 S3 버킷 관련 직원의 비정상적인 작업으로 인해 발생했으며, 관련 사용자 정보는 2022년 10월 8일에 완전히 격리되었습니다. 이번 사건은 화이트 해커 팀에 의해 발견된 후, 후오비 보안 팀이 2023년 6월 21일(10일 전)에 즉시 처리하였으며, 관련 파일 접근 권한을 즉시 차단하였고, 현재 취약점은 수정되었으며, 모든 관련 사용자 정보는 삭제되었습니다. 화이트 해커 팀의 후오비 보안에 대한 기여에 감사드립니다.

전문은 다음과 같습니다:

후오비는 클라우드 저장소에 접근할 수 있는 데이터 유출 사건을 조용히 수정했습니다. 후오비는 우연히 일련의 자격 증명을 공유하여 모든 Amazon Web Services S3 저장소에 쓰기 권한을 부여했습니다.

회사는 S3 저장소를 사용하여 CDN 및 웹사이트를 호스팅합니다. 누구나 이러한 자격 증명을 사용하여 huobi.com 및 hbfile.net 도메인 등의 내용을 수정할 수 있습니다. 후오비 자격 증명 유출로 인해 사용자 데이터 및 내부 파일이 노출되었습니다.

후오비의 실수를 이용한 공격자는 역사상 가장 큰 암호화폐 도난을 저지를 기회를 가질 수 있습니다.

후오비가 조치를 취하지 않았다면, 이 취약점은 사용자 계정과 자산을 도용하는 데 사용될 수 있었습니다. 회사는 감염된 계정을 삭제하였고, 그 사용자는 더 이상 위험에 처하지 않습니다.

제가 열린 Amazon Web Services (AWS) S3 저장소를 점검할 때, AWS 자격 증명이 포함된 민감한 파일을 발견했습니다. 조사 후, 자격 증명이 실제이며 해당 계정이 후오비에 속한다는 것을 확인했습니다.

후오비는 유출 사건에서 노출된 계정을 삭제했지만, 회사는 해당 파일을 삭제하지 않았습니다. 이러한 자격 증명은 여전히 온라인에서 누구나 다운로드할 수 있습니다:

아마존이 할당한 메타데이터에 따르면, 후오비는 2021년 6월에 해당 파일을 우연히 공개했습니다.

이는 회사가 약 2년 동안 생산 AWS 자격 증명을 공유해왔음을 의미합니다.

자격 증명을 다운로드한 모든 사람은 후오비의 클라우드 저장소에 완전히 접근할 수 있습니다. 저는 후오비의 모든 S3 저장소에서 파일을 업로드하고 삭제할 수 있었습니다. 이는 특히 위험한데, 후오비는 저장소를 대량으로 사용하고 있기 때문입니다.

이러한 자격 증명은 후오비의 많은 도메인을 수정하고 제어하는 데 사용될 수 있습니다. 공격자는 후오비의 인프라를 이용하여 사용자 계정과 자산을 도용하고, 악성 소프트웨어를 전파하며, 모바일 장치를 감염시킬 수 있습니다.

누구도 이 취약점을 이용하여 후오비를 공격했다는 징후는 없습니다.

핵심 S3 저장소에 대한 쓰기 접근 권한

이번 위반의 영향을 평가하기 위해, 저는 먼저 나열할 수 있는 모든 내용을 나열했습니다. 총 315개가 발견되었으며, 그 중 많은 것이 비공식적입니다.

그 중 일부 저장소는 후오비가 운영하는 웹사이트와 CDN과 이름을 공유합니다. 예를 들어, 많은 후오비 웹사이트와 애플리케이션에서 사용하는 콘텐츠를 호스팅하는 CDN입니다.

다음으로, 저는 저장소에 쓰기를 시도했습니다. 저는 모든 315개 저장소에서 파일을 쓰고 삭제할 수 있었습니다. 아래 스크린샷에서, 저는 후오비가 Android 애플리케이션을 저장하고 배포하는 데 사용하는 CDN에 파일을 업로드했습니다.

악의적인 사용자는 후오비 Android 애플리케이션의 수정된 버전을 업로드할 수 있습니다.

아마존은 IAM 역할을 사용하여 클라우드 서비스에 대한 접근을 제어합니다. 후오비와 같은 대기업의 경우, 클라우드 저장소를 관리하기 위해 단일 역할을 생성하는 것은 드문 일이 아닙니다. 그러나 이러한 접근 방식은 좋지 않은 방법입니다.

여러 팀 간에 하나의 역할을 공유하면 공격자에게 많은 접근 권한을 제공할 수 있습니다. 이 경우, 저는 기밀 보고서를 읽고, 데이터베이스 백업을 다운로드하며, CDN 및 웹사이트의 내용을 수정할 수 있었습니다. 저는 후오비 비즈니스의 거의 모든 측면의 데이터를 완전히 제어할 수 있었습니다.

이번 위반의 가장 위험한 측면은 후오비 CDN 및 웹사이트에 대한 쓰기 권한을 부여했다는 것입니다. 회사는 블랙 해커가 해당 인프라에 대한 쓰기 접근 권한을 얻지 못하도록 보장하기 위해 많은 비용을 지출했습니다. 실망스럽게도 후오비는 동일한 접근 권한을 유출했습니다.

공격자가 CDN에 쓸 수 있게 되면, 악성 스크립트를 주입할 기회를 쉽게 찾을 수 있습니다. CDN이 손상되면, 그것에 연결된 모든 웹사이트도 손상될 수 있습니다. 후오비의 로그인 포털을 예로 들 수 있습니다.

후오비의 미국 로그인 페이지는 최소 다섯 개의 서로 다른 CDN에서 리소스를 로드합니다. 위의 빨간 부분에 주목해 보겠습니다. 이 다섯 개 중 하나는 분명히 huobicfg.s3.amazonaws.com이라는 저장소로, URL에 "s3.amazonaws.com" 문자열이 포함되어 있습니다.

그러나 나머지 네 개도 손상된 저장소에 해당합니다. 저는 Cloudfront가 잘못된 요청에 대해 상세한 응답 헤더를 생성하도록 할 수 있었습니다. 헤더는 hbfile.net 도메인의 일부 콘텐츠가 AmazonS3를 통해 Cloudfront에 의해 제공된다는 것을 보여줍니다.

이 경우, Cloudfront는 중개자로 작용하여 hbfile.com 요청을 S3 저장소로 리디렉션합니다. 저는 손상된 저장소 목록에서 다섯 개의 CDN 중 네 개를 찾았습니다.

저는 모든 CDN에서 파일을 쓰고 삭제할 수 있었습니다.

일반적으로 소비자는 손상된 CDN 및 웹사이트를 감지하기 어렵습니다. 사용자 입장에서 그들은 신뢰할 수 있는 웹사이트에 접근하고 있습니다. 사용자는 CDN에 저장된 파일이 변경되었는지 판단할 수 없습니다.

악성 소프트웨어 방지의 경우, 특정 악성 스크립트는 올바른 출처에서 제공되기 때문에 실행이 허용될 수 있습니다. 블랙 해커에게는 CDN을 손상시키는 것이 웹사이트에 코드를 또는 악성 소프트웨어를 주입하는 가장 효과적인 방법 중 하나입니다.

후오비는 악의적인 사용자가 그들의 CDN 및 웹사이트를 쉽게 장악할 수 있도록 했습니다. 제가 아는 한, 회사가 운영하는 모든 로그인 페이지는 이 취약점의 영향을 받습니다.

2년 동안 후오비 웹사이트나 애플리케이션에 로그인한 모든 사용자는 계정을 잃을 위험에 처해 있을 수 있습니다.

이번 위반은 개인 정보 문제와도 관련이 있습니다. 후오비 유출된 자격 증명을 사용하여, 저는 사용자 정보가 포함된 고객 관계 관리(CRM) 보고서에 접근할 수 있었습니다.

제가 발견한 보고서에는 "암호화 고래"의 연락처 정보와 계좌 잔액이 포함되어 있습니다. 고래는 대량의 암호화폐를 보유한 부유한 사용자로, 후오비는 그들과 관계를 맺고자 하는 것으로 보입니다.

회사는 이러한 사용자의 능력 수준에 따라 그들을 정렬하는 것으로 보입니다. 시장에 더 큰 영향을 미칠 수 있는 사용자는 더 높은 순위를 부여받습니다.

후오비는 총 4,960명의 사용자 연락처 및 계좌 정보를 유출했습니다.

후오비 유출에서 드러난 또 다른 데이터 세트는 장외 거래(OTC) 거래의 데이터베이스입니다.

압축 해제 후, 데이터베이스 백업은 2TB를 초과하며, 2017년 이후 후오비가 처리한 모든 OTC 거래를 포함하는 것으로 보입니다. 이는 OTC 거래의 장점 중 하나가 개인 정보 보호를 증가시키기 때문에 많은 거래자들이 우려할 수 있는 사항입니다.

아래는 몇 가지 장외 거래에 대한 강조입니다. 2017년 이후 후오비에서 장외 거래를 한 모든 사람은 이러한 정보 유출을 경험했을 수 있습니다.

위의 스크린샷에서 사용자 계정, 거래 세부정보 및 거래자의 IP 주소를 볼 수 있습니다. 전체 데이터베이스에는 수천만 개의 이러한 거래가 포함되어 있습니다.

데이터베이스에는 후오비가 장외 거래 플랫폼을 관리하는 방법에 대한 몇 가지 주석도 포함되어 있습니다.

문서는 후오비의 인프라를 자세히 설명합니다.

후오비는 자신에 대한 정보를 유출했습니다. 첨부 파일은 그들의 생산 인프라의 내부 작동 방식을 보여줍니다. 소프트웨어 스택, 클라우드 서비스, 내부 서버 및 기타 민감한 세부 사항이 나열되어 있습니다.

이 파일들은 후오비가 유출한 다른 데이터와 마찬가지로 현재 안전합니다.

후오비 위반의 영향을 받은 가장 독특한 CDN 중 하나는 Utopo 블록체인 NFT입니다. 악의적인 사용자는 CDN의 JSON 파일을 변경하여 NFT를 편집할 수 있습니다.

NFT는 블록체인上的 JSON 파일의 링크입니다. JSON 파일이 수정되면 NFT의 특성이 변경됩니다. 이 경우, 모든 NFT는 편집 가능하지만, 저는 아무런 변경을 하지 않았습니다.

NFT 주위의 보안 위험은 여전히 탐색 중입니다. 특정 경우에는 수정된 NFT를 사용하여 악성 코드를 브라우저, 애플리케이션 또는 게임에 주입할 수 있습니다. 여기에서 그런 일이 발생했다는 징후는 없습니다.

타임라인

이 사건의 전체 타임라인은 다음과 같습니다:

결국, 후오비는 이러한 자격 증명을 철회하고 그들의 클라우드 저장소를 보호했습니다.

후오비 사용자는 간신히 위기를 모면했습니다.

불행히도, 이번 경우에 후오비가 잘 처리했다고 단정할 수는 없습니다. 자신의 아마존 자격 증명을 유출한 것만으로도 충분히 나쁜 일이지만, 응답하는 데 몇 개월이 걸렸고, 그럼에도 불구하고 후오비는 자격 증명을 온라인에 남겨두기로 선택했습니다.