نشت اطلاعات 230 هزار کاربر صرافی ارز دیجیتال ایرانی بیت‌ 24

اطلاعات 230 هزار کاربر صرافی ارز دیجیتال ایرانی بیت‌ 24 هک شد ، این خطا و حفره امنیتی در پیکربندی حدودا 230,000 شهروند ایرانی را در معرض خطر قرار داده و مدار...

انتشار: , زمان مطالعه: 4 دقیقه
نشت اطلاعات 230 هزار کاربر صرافی ارز دیجیتال ایرانی بیت‌ 24
دسته بندی: اخبار سایبری تعداد بازدید: 228

نشت اطلاعات 230 هزار کاربر صرافی ارز دیجیتال ایرانی بیت‌ 24

به دلیل دسترسی محدود به بازارهای مالی خارجی، ایران به طور قابل توجهی از رمزارزها استقبال کرده است. در سال گذشته، صرافی‌های رمزارز ایرانی معاملاتی به ارزش تقریبا 3 میلیارد دلار را تسهیل کردند. تقریبا تمام حجم ورودی رمزارز در ایران به شرایط شناخت مشتری (KYC) در حال انجام است.   KYC، که مخفف عبارت "شناخت مشتری" (Know Your Customer) است، به روندی اشاره دارد که طی آن شرکت‌ها و کسب و کارها هویت مشتریان خود را بررسی و تأیید می‌کنند. این فرآیند با هدف جلوگیری از فعالیت‌های غیر قانونی نظیر پولشویی، کلاهبرداری، تقلب و تأمین مالی فعالیت‌های تروریستی انجام می‌شود.

Bit24.cash، صرافی ارز دیجیتال در بازار ایران که بیش از 300 سکه و توکن را پشتیبانی می‌کند، استثنا نیست. در فرآیند KYC، که با هدف مقابله با فعالیت‌های مجرمانه انجام می‌شود، کاربران موظف به تایید هویت خود با بارگذاری اسناد رسمی هستند. با توجه به ماهیت حساس این اسناد که با صرافی‌ها به اشتراک گذاشته می‌شود، کاربران به حق انتظار دارند سازمان‌ها آنها را به طور ایمن حفظ کنند.

با این حال، محققان تیم امنیتی ابدال یک نمونه حفره امنیتی پیکربندی شده MinIO (یک سیستم ذخیره‌سازی اشیاء با عملکرد بالا) را کشف کردند که به طور ناخواسته به مخازن ذخیره‌سازی ابری S3 که داده‌های KYC را در خود جای داده اند ، دسترسی داده است.

این خطا و حفره امنیتی در پیکربندی حدودا 230,000 شهروند ایرانی را در معرض خطر قرار داده و مدارکی مانند رضایت‌نامه‌های کتبی به قوانین، گذرنامه‌ها، کارت‌های شناسایی، و اطلاعات کارت‌های اعتباری مانند صاحب حساب ، شماره  CVV2 و تاریخ انقضا کارت و .. آن‌ها را فاش کرده است. نمونه ای از اطلاعات فاش شده در تصویر فوق مشخص است .

ما برای برقراری ارتباط با این شرکت یعنی صرافی ارز دیجیتال ایرانی بیت‌ 24 تلاش کرده ایم اما پیش از انتشار این مقاله پاسخی دریافت نکردیم. البته این حفره امنیتی امن شده و دیگر قابل دسترسی نیست.

محققان تیم امنیتی ابدال بر ماهیت حیاتی داده‌های تایید KYC دستکاری شده در پلتفرم‌های مبادله رمزارز تاکید کردند. این مشکل  نقض امنیتی جدی‌ای را مطرح می‌کند، زیرا هکرها می‌توانند از داده‌های فاش شده برای سرقت هویت، معاملات کلاهبرداری، و حملات فیشینگ سوءاستفاده کنند. با دسترسی به چنین داده‌های شخصی و مالی جامعی، هکرها می‌توانند هویت افراد را جعل کنند، بدون اجازه به حساب‌ها دسترسی پیدا کنند، معاملات کلاهبردارانه را اجرا کنند، و احتمالا به کاربران آسیب‌های مالی و شخصی قابل توجهی وارد کنند.

متاسفانه سالهاست در سیستم های دولتی و غیر دولتی در ایران شاهد نشت اطلاعات حساس ایرانی ها هستیم. در ضمن طی یک نامه به صرافی ارز دیجیتال ایرانی بیت‌ 24 پیشنهاد امن سازی سیستم های این صرافی را ارسال کرده ایم اما هنوز هیچ پاسخی برای ما ارسال نشده است.

آپدیت جدید  در شنبه 16 دی 1402

تیم پشتیبانی صرافی ارز دیجیتال ایرانی بیت‌ 24 پاسخ نامه ما را ارسال کرده اند و لینک مقاله و راهنمای این حفره امنیتی برای ایشان ارسال شد  . در صورتی که از شرکت  بیت 24 این مقاله را مطالعه می کنید لیست حفره های امنیتی  MinIO  را از اینجا می توانید مشاهده کنید .

آشنایی با قطعه کدی که این حفره امنیتی را به وجود آورده است

// minio/cmd/generic-handlers.go
func setRequestValidityHandler(h http.Handler) http.Handler {
  return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
    // ...
    // For all other requests reject access to reserved buckets
    bucketName, _ := request2BucketObjectName(r)
    if isMinioReservedBucket(bucketName) || isMinioMetaBucket(bucketName) {
      if !guessIsRPCReq(r) && !guessIsBrowserReq(r) && !guessIsHealthCheckReq(r) && !guessIsMetricsReq(r) && !isAdminReq(r) && !isKMSReq(r) {
        if ok {
          tc.FuncName = "handler.ValidRequest"
          tc.ResponseRecorder.LogErrBody = true
        }
        writeErrorResponse(r.Context(), w, errorCodes.ToAPIErr(ErrAllAccessDisabled), r.URL)
        return
      }
    }
    // ...

 

یک مهاجم می‌تواند با استفاده از درخواست‌های ساختگی، از بررسی نام باکت متادیتا عبور کند و در هنگام پردازش PostPolicyBucket، یک شیء را در هر سطلی قرار دهد. برای انجام این حمله، مهاجم به اعتبارنامه‌هایی با دسترسی arn:aws:s3:::* نیاز دارد، همچنین دسترسی فعال به API کنسول لازم است.


دیدگاه های مربوط به این مقاله (برای ارسال دیدگاه در سایت حتما باید عضو باشید و پروفایل کاربری شما تکمیل شده باشد)