L’exchange Huobi résout la faille exposant les données de milliers d’utilisateurs

| 2 min de lecture

La plateforme d’échange majeure de crypto-monnaies Huobi a résolu discrètement une énorme vulnérabilité qui aurait exposé les avoirs des utilisateurs pendant deux ans.

Selon le pirate informatique éthique et chercheur Aaron Phillips, Huobi a accidentellement publié un fichier contenant des identifiants Amazon Web Services (AWS) en juin 2021, ce qui a entraîné la fuite des informations de contact et de compte de 4 960 “whales” ainsi que des documents internes. Cette violation de données aurait pu être “le plus grand vol de crypto-monnaie de l’histoire” si elle avait été exploitée par un attaquant, a écrit Phillips sur son blog.

“N’importe qui aurait pu utiliser les identifiants pour modifier le contenu des domaines huobi.com et hbfile.net, entre autres”

“J’avais un contrôle total sur les données de presque tous les aspects de l’activité de Huobi.”

Philipps

Phillips a informé Huobi de la fuite en juin 2022, et il a fallu cinq mois pour que l’échange réponde à la fuite avant de révoquer les identifiants en juin 2023. L’aspect le plus “dangereux” de la violation concernait l’accès aux privilèges d’écriture des réseaux de diffusion de contenu (CDN) et des sites web de Huobi.

“Une fois qu’un attaquant peut écrire sur un CDN, il est trivial de trouver une opportunité pour injecter des scripts malveillants. Et une fois qu’un CDN est compromis, tous les sites qui y sont liés sont également potentiellement compromis.”

Huobi a finalement supprimé le compte compromis, sécurisant ainsi son stockage à froid le 20 juin. Phillips a également affirmé que la fuite de Huobi avait exposé une base de données de transactions de gré à gré (OTC) depuis 2017. La base de données contenait des détails sur les comptes des utilisateurs, les détails des transactions et les adresses IP des traders dans un fichier téléchargeable de 2 To. De plus, la violation a révélé le fonctionnement interne de l’infrastructure de production de Huobi et a permis d’accéder à la modification des fichiers JSON du projet NFT de l’entreprise, Utopo.

Huobi maintient que la brèche « n’était pas si grave »

Dans une réponse datée du 1er juin, Huobi a déclaré que la violation des données de gré à gré mentionnée par Phillips était “non réelle, mais des données de test”. Les fuites concernent les informations de seulement 4 000 utilisateurs.

Selon la réponse de Huobi, la violation des données s’est produite “en raison d’opérations inappropriées par du personnel lié au compartiment S3 dans l’environnement de test du site AWS de Huobi au Japon. Les informations d’utilisateur ont été complètement isolées le 8 octobre 2022.”

L’échange a également nié que la fuite concernerait des informations sensibles et n’affecte ni les comptes des utilisateurs ni la sécurité des fonds.

Huobi n’a pas répondu immédiatement à une demande de commentaire.