4,9 mil clientes da Huobi tiveram dados vazados por falha da corretora

O hacker que descobriu o problema disse que seria “o maior roubo de criptomoedas da história” se a Huobi não tivesse agido a tempo
Imagem da matéria: 4,9 mil clientes da Huobi tiveram dados vazados por falha da corretora

Foto: Shutterstock

A corretora Huobi confirmou nesta segunda-feira (3) que 4.960 clientes da sua plataforma de negociação de criptomoedas tiveram suas informações de contato vazadas por conta de um incidente exposto na última quarta-feira (28) pelo hacker white hat Aaron Phillips.

Segundo a investigação do especialista, a violação aconteceu em meados de 2021 e envolveu a exposição de credenciais que concedem privilégios de gravação a todos os “buckets” AWS S3 da Huobi, que a empresa usa para armazenamento em nuvem.

Publicidade

Esses “buckets” são responsáveis por armazenar dados como objetos. Um objeto é formado por um arquivo e metadados que descrevem esse arquivo.  

Em resposta ao The Block, um porta-voz da Huobi garantiu que o incidente já foi corrigido e explicou que tipo de dados possivelmente foram vazados:

“O tipo de informação vazada não envolve informações sensíveis e não afeta as contas dos usuários e a segurança dos fundos. O incidente ocorreu em 22 de junho de 2021, devido a operações inadequadas por parte do pessoal no ambiente de testes do site da AWS da Huobi Japão. As informações relevantes do usuário foram completamente isoladas em 8 de outubro de 2022.”

De acordo com a Huobi, o site japonês da Huobi é uma entidade “completamente diferente” do site da Huobi Global, de tal forma que o problema não se espalhou para os clientes de outras regiões atendidas pela empresa.

Publicidade

Quando a falha foi descoberta, a Huobi garantiu que cancelou imediatamente todas as permissões de acesso a arquivos relevantes. “O problema foi corrigido e todas as informações relacionadas ao usuário foram excluídas”, acrescentou a corretora.

Críticas do hacker “do bem”

O hacker white hat Aaron Phillips que descobriu o problema, no entanto, diz que levou meses para que ele recebesse uma resposta da Huobi. Naquele meio tempo, ele afirma que as credenciais vazadas permaneceram online mesmo depois de a corretora ter sido notificada sobre o problema pela primeira vez em junho de 2022.

Ao falar sobre o incidente no seu blog, Phillips demonstra a gravidade da Huobi ter compartilhado acidentalmente credenciais que concedem privilégios de gravação a todos os seus buckets da Amazon Web Services.

“A empresa usa esses buckets para hospedar seus CDNs e sites. Qualquer um poderia ter usado as credenciais para modificar o conteúdo dos domínios huobi.com e hbfile.net, entre outros. O vazamento de credenciais de Huobi também levou à exposição de dados de usuários e documentos internos”.

Publicidade

Ele afirma que se um invasor tivesse notado essa falha e usado a brecha para hackear a corretora, ele poderia ter realizado “o maior roubo de criptomoedas da história”.

Felizmente, o hacker “do bem” não encontrou nenhuma evidência de que a violação foi usada para realizar um ataque contra a Huobi.