Kryptobörse Huobi behebt Sicherheitslücke, durch die die Kontaktdaten tausender Nutzer bekannt wurden

Sujha Sundararajan
| 2 min read
Source: Pexels

Die große Kryptobörse Huobi hat in aller Stille eine massive Sicherheitslücke geschlossen, durch die angeblich zwei Jahre lang Assets von Nutzern preisgegeben wurden.

Laut dem White-Hat-Hacker und Forscher Aaron Phillips veröffentlichte Huobi im Juni 2021 versehentlich eine Datei mit Zugangsdaten für Amazon Web Services (AWS), die Kontakt- und Kontodaten von 4.960 “Kryptowalen” sowie interne Dokumente enthielt.

Die Datenpanne hätte leicht zum “größten Krypto-Diebstahl der Geschichte” werden können, wenn sie von einem Angreifer ausgenutzt worden wäre, schrieb Phillips in seinem Blog.

“Jeder hätte die Zugangsdaten nutzen können, um Inhalte unter anderem auf den Domains huobi.com und hbfile.net zu verändern”, so Phillips weiter. “Ich hatte die volle Kontrolle über Daten aus fast allen Geschäftsbereichen von Huobi.

Phillips informierte Huobi erstmals im Juni 2022 über das Leck, und es dauerte fünf Monate, bis er eine Antwort von der Börse erhielt, um auf das Leck zu reagieren, bevor Huobi seine Anmeldedaten im Juni 2023 widerrief.

Der “gefährlichste” Aspekt des Lecks war der Zugriff auf Schreibrechte für die Content Delivery Networks (CDNs) und Websites von Huobi.

“Sobald ein Angreifer auf ein CDN schreiben kann, ist es trivial, eine Gelegenheit zu finden, um bösartige Skripte einzuschleusen. Und sobald ein CDN kompromittiert ist, sind alle Websites, die darauf verweisen, potenziell ebenfalls gefährdet.”

Huobi löschte schließlich das kompromittierte Konto und sicherte damit seinen Cold Storage am 20. Juni.

Phillips behauptete auch, dass das Leck bei Huobi eine Datenbank mit außerbörslichen (OTC) Trades seit 2017 offengelegt hat. Die Datenbank enthielt Details zu Benutzerkonten, Transaktionsdetails und die IP-Adresse von Tradern in einer 2 TB großen herunterladbaren Datei.

Darüber hinaus enthüllte der Einbruch das Innenleben der Produktionsinfrastruktur von Huobi und ermöglichte den Zugriff auf geänderte JSON-Dateien des NFT-Projekts des Unternehmens – Utopo.

Huobi behauptet, der Einbruch sei “nicht so schlimm” gewesen

Huobi sagte in einer Antwort am 1. Juni, dass es sich bei dem von Phillips erwähnten OTC-Datenbruch “nicht um echte, sondern um Testdaten” handelte. Das Leck betrifft nur die Daten von 4000 Nutzern.

In der Antwort von Huobi auf den Vorfall heißt es, die Datenverletzung sei “auf unsachgemäße Operationen von Mitarbeitern im Zusammenhang mit dem S3-Bucket in der Testumgebung der japanischen AWS-Site von Huobi zurückzuführen. Die relevanten Nutzerdaten wurden am 8. Oktober 2022 vollständig isoliert.”

Die Börse bestritt auch, dass das Leck keine sensiblen Informationen betrifft und keine Auswirkungen auf die Sicherheit von Benutzerkonten und Fonds hat.

Huobi reagierte nicht sofort auf eine Bitte um einen Kommentar.