Warning: DOMDocument::loadHTML(): Tag figure invalid in Entity, line: 15 in /home/tfbjrndghosting/public_html/topten.edu.vn/wp-content/themes/jnews-child/functions.php on line 26
Warning: DOMDocument::loadHTML(): Tag oembed invalid in Entity, line: 15 in /home/tfbjrndghosting/public_html/topten.edu.vn/wp-content/themes/jnews-child/functions.php on line 26
Warning: DOMDocument::loadHTML(): Unexpected end tag : p in Entity, line: 15 in /home/tfbjrndghosting/public_html/topten.edu.vn/wp-content/themes/jnews-child/functions.php on line 26
Nguồn: Pexels
Sàn giao dịch tiền điện tử lớn Huobi đã âm thầm giải quyết một lỗ hổng lớn được cho là đã làm lộ tài sản của người dùng trong hai năm.
Theo nhà nghiên cứu và hacker mũ trắng Aaron Phillips, vào tháng 6 năm 2021, Huobi đã vô tình xuất bản một tệp chứa thông tin xác thực của Amazon Web Services (AWS), làm rò rỉ thông tin liên hệ và tài khoản của 4.960 “cá voi tiền điện tử” và các tài liệu nội bộ.
Vi phạm dữ liệu có thể dễ dàng trở thành “vụ đánh cắp tiền điện tử lớn nhất trong lịch sử”, nếu nó bị kẻ tấn công khai thác, Phillips viết trong bài báo của mình. Blog.
“Bất kỳ ai cũng có thể sử dụng thông tin đăng nhập để sửa đổi nội dung trên các miền huobi.com và hbfile.net, trong số những miền khác,” Phillips nói thêm. “Tôi có toàn quyền kiểm soát dữ liệu từ hầu hết mọi khía cạnh kinh doanh của Huobi.”
Phillips lần đầu tiên thông báo cho Huobi về vụ rò rỉ vào tháng 6 năm 2022 và phải mất 5 tháng để nhận được phản hồi từ sàn giao dịch về hành động xử lý vụ rò rỉ, trước khi Huobi thu hồi thông tin xác thực của mình vào tháng 6 năm 2023.
Khía cạnh “nguy hiểm” nhất của vụ vi phạm liên quan đến quyền truy cập để ghi đặc quyền vào các mạng phân phối nội dung (CDN) và trang web của Huobi.
“Một khi kẻ tấn công có thể ghi vào CDN, việc tìm cơ hội để đưa vào các tập lệnh độc hại là chuyện nhỏ. Và một khi CDN bị xâm phạm, tất cả các trang web liên kết với nó cũng có khả năng bị xâm phạm.”
Huobi cuối cùng đã xóa tài khoản bị xâm phạm, do đó đảm bảo kho lạnh của nó vào ngày 20 tháng 6.
Phillips cũng tuyên bố rằng vụ rò rỉ của Huobi đã làm lộ cơ sở dữ liệu về các giao dịch phi tập trung (OTC) kể từ năm 2017. Cơ sở dữ liệu này có thông tin chi tiết về tài khoản người dùng, chi tiết giao dịch và địa chỉ IP của người giao dịch trong tệp có thể tải xuống 2TB.
Ngoài ra, vi phạm đã tiết lộ hoạt động bên trong cơ sở hạ tầng sản xuất của Huobi và cấp quyền truy cập để thay đổi các tệp JSON của dự án NFT của công ty – Utopo.
1. Huobi duy trì vi phạm “Điều đó không tệ”
Huobi cho biết trong một phản hồi vào ngày 1 tháng 6 rằng vi phạm dữ liệu OTC được đề cập bởi Phillips là “không có thật, mà là dữ liệu thử nghiệm.” Các rò rỉ liên quan đến thông tin người dùng của chỉ 4000 người dùng.