作者：phillips.technology 编译：Cointime Lu Tian

“该交易所多年来在公开的 S3 存储桶中存储含有 AWS 凭证的文件，从而使用户资产面临风险。”

作为全球最大的加密货币交易所之一，Huobi 近日秘密修复了一起可能导致公司云存储被访问的数据泄露事件。Huobi 不慎共享了一组凭证，赋予了对其所有 Amazon Web Services S3 存储桶的写入权限。

该公司利用 S3 存储桶来托管其内容分发网络（CDN）和网站。凭此泄露的凭证，任何人都有可能修改 huobi.com 和 hbfile.net 等域名上的内容。此外，Huobi 凭证的泄露还导致用户数据和内部文件的暴露。

针对 Huobi 的失误，攻击者可能有机会实施史上规模最大的加密货币盗窃。据先前报道，该公司的日交易量已超过 10 亿美元。

若 Huobi 未能采取行动，这一漏洞很可能会被用于窃取用户账户和资产。目前，该公司已删除了受感染的账户，用户不再面临风险。 

加密巨头 Huobi 泄露AWS凭证

在检查公开的Amazon Web Services (AWS) S3存储桶时，我发现了一个包含敏感AWS凭证的文件。经过深入研究，我确认这些凭证属实，而且该账户是Huobi的。  

  尽管Huobi删除了泄露事件中暴露的账户，但该公司未移除涉及的文件。这些凭证依然可以在线被任何人下载：http://local-jp-ex-test.s3.amazonaws.com/share_image/credentials

Huobi的所有用户都不会因为该文件持续在线而面临风险。

敏感文件公开两年

根据Amazon提供的元数据显示，Huobi在2021年6月意外发布了该文件。

这意味着该公司在过去两年时间里一直在分享生产环境的AWS凭证。

Huobi泄露的凭证允许访问私有存储

凭证的持有者可以完全访问Huobi的云存储桶。我有能力上传和删除Huobi所有S3存储桶中的文件。这尤为危险，因为Huobi大量依赖这些存储桶。

这些凭证有可能被用于修改和控制Huobi的许多域名。攻击者或许会利用Huobi的基础设施窃取用户账户和资产、传播恶意软件并感染移动设备。

目前没有证据显示有人利用此漏洞对Huobi发起攻击。

针对关键S3存储桶的写访问权限

为了评估此次违规行为的影响，我首先对所有可列出的内容进行了检查。总共发现了315个存储桶，其中不少是私有的。

Huobi AWS S3 存储桶部分存储桶与Huobi运营的网站和CDN共享名称。

例如，download.hbfile.net是一个CDN，托管了许多Huobi网站和应用程序所使用的内容。

Huobi AWS S3 存储桶接下来，我尝试向存储桶写入内容。我成功地在所有315个存储桶中写入和删除了文件。在下面的屏幕截图中，我将一个文件上传到Huobi用于存储和分发Android应用程序的CDN。

Huobi对CDN的写访问恶意用户可能会上传修改过的Huobi Android应用程序版本。

Amazon通过IAM角色控制对其云服务的访问。对于像Huobi这样的大公司，创建单一角色来管理其云存储并不罕见。但这种做法是不妥当的。

在多个团队中共享一个角色可能为攻击者提供广泛的访问权限。在这种情况下，我可以阅读机密报告、下载数据库备份，以及修改CDN和网站上的内容。我几乎完全掌控了Huobi业务各个方面的数据。

受违规影响的Huobi CDN和网站

可以说，此次违规行为最危险的方面在于它授权了对Huobi CDN和网站的写入权限。公司投入大量资金进行测试，以确保黑客无法获得对其基础设施的写入访问权限。然而令人沮丧的是，Huobi却泄露了类似的访问权限。

一旦攻击者可以写入CDN，就容易找到注入恶意脚本的机会。一旦CDN受到损害，所有链接到它的网站也可能受到影响。以Huobi的登录门户为例。

Huobi的美国登录页面从至少五个不同的CDN加载资源。我们重点关注上面红色的部分。这五个中的一个显然是一个存储桶，huobicfg.s3.amazonaws.com，因为URL包含字符串“s3.amazonaws.com”。

其他四个也对应于受损的存储桶。我能够让Cloudfront为无效请求生成详细的响应标头。标头显示hbfile.net域的部分内容由Cloudfront通过AmazonS3提供服务。

在这种情况下，Cloudfront充当中间人，将hbfile.com请求重定向到S3存储桶。我在受损存储桶列表中找到了五个CDN中的四个。

我可以在所有CDN上写入和删除文件。

一般来说，消费者很难检测到受损的CDN和网站。从用户的角度来看，他们正在访问一个值得信赖的网站。用户无法判断CDN上存储的文件是否已被更改。

对于反恶意软件，某些恶意脚本可能会被允许运行，因为它们是从正确的来源提供的。对于黑客来说，破坏CDN是将代码或恶意软件注入网站的最有效方法之一。

Huobi让恶意用户轻易接管他们的CDN和网站。据我所知，该公司运营的每个登录页面都可能受到此漏洞的影响。

在过去两年里，每个登录Huobi网站或应用程序的用户都可能面临失去账户的风险。

Huobi泄露的“鲸鱼报告”

此次违规行为还涉及隐私问题。使用Huobi泄露的凭证，我能够访问包含用户信息的客户关系管理（CRM）报告。

Huobi泄露有关加密鲸鱼的信息我发现的报告中有“加密鲸鱼”的联系信息和账户余额。鲸鱼是拥有大量加密货币的富裕用户，Huobi显然有兴趣与他们建立关系。

该公司似乎根据这些用户的市场影响力对他们进行排序。拥有更大影响市场能力的用户会获得更高的排名。

Huobi总共泄露了4960名用户的联系方式和账户信息。

Huobi OTC数据库曝光

Huobi泄露的另一组数据是场外交易（OTC）交易的数据库。许多交易所出于各种原因提供场外交易。场外交易此前一直存在争议。就在一周前，两家美国交易所自愿停止提供场外交易，以免面临更严格的审查。

Huobi OTC数据库备份压缩后为204.8GB解压后，数据库备份超过2TB，似乎包含了Huobi自2017年以来处理的每笔OTC交易。这可能是许多交易者关心的问题，因为OTC交易的好处之一就是增加隐私。

下面重点介绍了一些场外交易。自2017年以来，任何在Huobi进行场外交易的人都曾遭遇过此类信息泄露。

在上面的屏幕截图中，可以看到用户账户、交易详细信息和交易者的IP地址。完整的数据库包含数千万个这样的交易。

数据库中还有一些注释，可以让我们了解Huobi如何在幕后管理其场外交易平台。

{"name":"疑似跑分" , "id":190 , "root":"洗钱风险"}

Huobi泄露场外交易行为构成了对隐私的侵犯。他们保存的日志详细且敏感，应该更加小心地保证它们的安全。

Huobi公开的Confluence附件显示了其生产基础设施的内部运作情况。软件堆栈、云服务、内部服务器和其他敏感细节都已列出。

该文件已翻译这些文件与Huobi泄露的其他数据一样，现在都是安全的。

Utopo NFT 项目面临风险

受Huobi违规影响的最独特的CDN之一是Utopo区块链NFT。恶意用户可能会更改CDN上的JSON文件以编辑NFT。

Huobi比特币主宰NFT Utopo区块链NFT是区块链上JSON文件的链接。当JSON文件被修改时，它们会改变NFT的特征。在这种情况下，所有NFT都可以编辑，尽管我没有做任何更改。

这个NFT并没有被修改来注入恶意代码，它只是一个老虎机女士围绕NFT的安全风险仍在探索中。在某些情况下，可能会使用修改后的NFT将恶意代码注入浏览器、应用程序或游戏中。没有迹象表明这里发生过。

时间线

Huobi用户躲过一劫

由于Huobi等交易所的缺陷和漏洞，许多人失去了加密货币积蓄。这些交易所成为黑帽黑客的理想攻击目标，因为一个受损的交易所可能拥有数十万用户。只有当供应商和服务提供商尽职尽责时，加密货币才能更难以被窃取。

遗憾的是，在这种情况下，我们无法断言Huobi已经很好地完成了他们的工作。泄露自己的亚马逊凭证本身就足够糟糕，但花了数月才得到回应，尽管如此，Huobi仍选择将凭证留在网上。

另一方面，Huobi一直是最安全的加密货币交易所之一。然而，由于这样的违规行为，他们确实让该记录面临风险。

我已销毁所有与此次泄露相关的个人身份信息（PII）和敏感信息。