“该交易所多年来在公开的 S3 存储桶中存储含有 AWS 凭证的文件,从而使用户资产面临风险。”
作为全球最大的加密货币交易所之一,Huobi 近日秘密修复了一起可能导致公司云存储被访问的数据泄露事件。Huobi 不慎共享了一组凭证,赋予了对其所有 Amazon Web Services S3 存储桶的写入权限。
该公司利用 S3 存储桶来托管其内容分发网络(CDN)和网站。凭此泄露的凭证,任何人都有可能修改 huobi.com 和 hbfile.net 等域名上的内容。此外,Huobi 凭证的泄露还导致用户数据和内部文件的暴露。
针对 Huobi 的失误,攻击者可能有机会实施史上规模最大的加密货币盗窃。据先前报道,该公司的日交易量已超过 10 亿美元。
若 Huobi 未能采取行动,这一漏洞很可能会被用于窃取用户账户和资产。目前,该公司已删除了受感染的账户,用户不再面临风险。
加密巨头 Huobi 泄露AWS凭证
在检查公开的Amazon Web Services (AWS) S3存储桶时,我发现了一个包含敏感AWS凭证的文件。经过深入研究,我确认这些凭证属实,而且该账户是Huobi的。