Криптовалютная биржа Huobi устранила утечку данных, которая, по сообщениям специалистов, с июня 2021 года представляла опасность для активов пользователей платформы.
Уязвимость была связана с раскрытием учётных данных, дающих право на запись во все корзины облачного хранилища Huobi AWS S3, которые использует компания. Об этом сообщил белый хакер и журналист Аарон Филлипс, который также рассказал, что впервые об этом уведомил биржу ещё в июне 2022 года.
Любой человек, имеющий доступ к учётным данным, мог изменить всё содержимое на доменах Huobi, включая huobi.com и hbfile.net. Кроме того, пользовательские данные и внутренние документы также подвергались угрозе.
По словам Филлипса, серьёзность уязвимости могла бы привести к «самой крупной краже криптовалют», так как на текущий момент Huobi ежемесячно обрабатывает объём торгов криптовалютами на сумму более $ 10 млрд.
Он отдельно выделил уязвимость сетей доставки контента (CDN) и сайтов Huobi, что могло привести к внедрению вредоносных скриптов. По его словам, CDN могли скомпрометировать каждую страницу входа в Huobi, что потенциально затронуло бы каждого пользователя, который входил на сайт или в приложение Huobi за последние два года.
Это создало риски потери аккаунта и криптоактивов пользователя и разглашения конфиденциальной информации, такой как контактные данные и балансы аккаунта. В эти данные входила база данных криптокитов и данные по внебиржевым (OTC) сделкам Huobi, сообщил Филлипс.
На текущий момент, по заявлению представителей биржи Huobi, 20 июня платформа удалила скомпрометированный аккаунт и защитила своё облачное хранилище, ограничив доступ к файлам.
По данным Аарона Филлипса, небольшая утечка данных всё же произошла, вследствие чего в сеть попали контактные данные примерно 4 960 человек.
Утечка не включает конфиденциальную информацию и не влияет на учётные записи пользователей и безопасность средств. Инцидент произошёл 22 июня 2021 года из-за неправильных действий персонала, связанных с корзиной S3, в тестовой среде японского сайта AWS Huobi.
Соответствующая информация о пользователях была полностью изолирована 8 октября 2022 года. Мы благодарим команду белых хакеров за их вклад в безопасность Huobi, — сообщил представитель криптобиржи.
