A corretora Huobi confirmou nesta segunda-feira (3) que 4.960 clientes da sua plataforma de negociação de criptomoedas tiveram suas informações de contato vazadas por conta de um incidente exposto na última quarta-feira (28) pelo hacker white hat Aaron Phillips.
Segundo a investigação do especialista, a violação aconteceu em meados de 2021 e envolveu a exposição de credenciais que concedem privilégios de gravação a todos os “buckets” AWS S3 da Huobi, que a empresa usa para armazenamento em nuvem.
Esses “buckets” são responsáveis por armazenar dados como objetos. Um objeto é formado por um arquivo e metadados que descrevem esse arquivo.
Em resposta ao The Block, um porta-voz da Huobi garantiu que o incidente já foi corrigido e explicou que tipo de dados possivelmente foram vazados:
“O tipo de informação vazada não envolve informações sensíveis e não afeta as contas dos usuários e a segurança dos fundos. O incidente ocorreu em 22 de junho de 2021, devido a operações inadequadas por parte do pessoal no ambiente de testes do site da AWS da Huobi Japão. As informações relevantes do usuário foram completamente isoladas em 8 de outubro de 2022.”
De acordo com a Huobi, o site japonês da Huobi é uma entidade “completamente diferente” do site da Huobi Global, de tal forma que o problema não se espalhou para os clientes de outras regiões atendidas pela empresa.
Quando a falha foi descoberta, a Huobi garantiu que cancelou imediatamente todas as permissões de acesso a arquivos relevantes. “O problema foi corrigido e todas as informações relacionadas ao usuário foram excluídas”, acrescentou a corretora.
Críticas do hacker “do bem”
O hacker white hat Aaron Phillips que descobriu o problema, no entanto, diz que levou meses para que ele recebesse uma resposta da Huobi. Naquele meio tempo, ele afirma que as credenciais vazadas permaneceram online mesmo depois de a corretora ter sido notificada sobre o problema pela primeira vez em junho de 2022.
Ao falar sobre o incidente no seu blog, Phillips demonstra a gravidade da Huobi ter compartilhado acidentalmente credenciais que concedem privilégios de gravação a todos os seus buckets da Amazon Web Services.
“A empresa usa esses buckets para hospedar seus CDNs e sites. Qualquer um poderia ter usado as credenciais para modificar o conteúdo dos domínios huobi.com e hbfile.net, entre outros. O vazamento de credenciais de Huobi também levou à exposição de dados de usuários e documentos internos”.
Ele afirma que se um invasor tivesse notado essa falha e usado a brecha para hackear a corretora, ele poderia ter realizado “o maior roubo de criptomoedas da história”.
Felizmente, o hacker “do bem” não encontrou nenhuma evidência de que a violação foi usada para realizar um ataque contra a Huobi.
- Não perca dinheiro. No Mercado Bitcoin, você pode fazer staking de Ethereum de maneira segura e simples. Abra sua conta agora e comece a ganhar recompensas sobre seus investimentos em criptomoedas.