Huobi Crypto Exchange Memperbaiki Pelanggaran yang Membocorkan Ribuan Informasi Kontak Pengguna – Pertukaran crypto utama Huobi diam-diam telah menyelesaikan kerentanan besar yang diduga mengungkap aset pengguna selama dua tahun.
Per peretas topi putih dan peneliti Aaron Phillips, Huobi secara tidak sengaja menerbitkan file yang berisi kredensial Amazon Web Services (AWS) pada Juni 2021, yang membocorkan informasi kontak dan akun untuk 4.960 “paus kripto” dan dokumen internal.
Pelanggaran data bisa dengan mudah menjadi “pencurian kripto terbesar dalam sejarah,” jika dieksploitasi oleh penyerang, tulis Phillips di blognya .
“Siapa pun dapat menggunakan kredensial untuk memodifikasi konten di antara domain huobi.com dan hbfile.net,” tambah Phillips. “Saya memiliki kendali penuh atas data dari hampir setiap aspek bisnis Huobi.”
Phillips pertama kali memberi tahu Huobi tentang kebocoran tersebut pada Juni 2022, dan butuh waktu lima bulan untuk menerima tanggapan dari bursa untuk menindaklanjuti kebocoran tersebut, sebelum Huobi mencabut kredensialnya pada Juni 2023.
Huobi Crypto Exchange Memperbaiki Pelanggaran yang Membocorkan Ribuan Informasi Kontak Pengguna
Aspek paling “berbahaya” dari pelanggaran tersebut melibatkan akses untuk hak menulis ke jaringan pengiriman konten (CDN) dan situs web Huobi.
“Begitu penyerang dapat menulis ke CDN, menemukan peluang untuk menyuntikkan skrip berbahaya adalah hal yang sepele. Dan begitu CDN disusupi, semua situs yang menautkannya juga berpotensi disusupi.”
Huobi akhirnya menghapus akun yang disusupi, sehingga mengamankan cold storage-nya pada 20 Juni.
Phillips juga mengklaim bahwa kebocoran Huobi mengungkap basis data perdagangan over-the-counter (OTC) sejak 2017. Basis data tersebut memiliki detail akun pengguna, detail transaksi, dan alamat IP pedagang dalam file 2TB yang dapat diunduh.
Selain itu, pelanggaran mengungkapkan cara kerja infrastruktur produksi Huobi dan memberikan akses untuk mengubah file JSON dari proyek NFT perusahaan – Utopo.
Huobi mengatakan sebagai tanggapan pada 1 Juni, bahwa pelanggaran data OTC yang disebutkan oleh Phillips adalah “tidak nyata, tetapi data uji”. Kebocoran tersebut melibatkan informasi pengguna hanya 4000 pengguna.
Huobi responded that the incident occurred on June 22, 2021, which was caused by the irregular operation of relevant personnel in the S3 barrel of the test environment of the Japanese station, and the relevant user information was completely isolated on October 8, 2022.
After…
— Wu Blockchain (@WuBlockchain) July 1, 2023
Menurut tanggapan Huobi terhadap insiden tersebut, pelanggaran data terjadi “karena operasi yang tidak tepat oleh personel yang terkait dengan bucket S3 di lingkungan pengujian situs AWS Huobi Jepang. Informasi pengguna yang relevan benar-benar diisolasi pada 8 Oktober 2022.”
Pertukaran juga membantah bahwa kebocoran tidak melibatkan informasi sensitif dan tidak mempengaruhi akun pengguna dan keamanan dana.