نشت اطلاعات 230 هزار کاربر صرافی ارز دیجیتال ایرانی بیت 24
اطلاعات 230 هزار کاربر صرافی ارز دیجیتال ایرانی بیت 24 هک شد ، این خطا و حفره امنیتی در پیکربندی حدودا 230,000 شهروند ایرانی را در معرض خطر قرار داده و مدار...
نشت اطلاعات 230 هزار کاربر صرافی ارز دیجیتال ایرانی بیت 24
به دلیل دسترسی محدود به بازارهای مالی خارجی، ایران به طور قابل توجهی از رمزارزها استقبال کرده است. در سال گذشته، صرافیهای رمزارز ایرانی معاملاتی به ارزش تقریبا 3 میلیارد دلار را تسهیل کردند. تقریبا تمام حجم ورودی رمزارز در ایران به شرایط شناخت مشتری (KYC) در حال انجام است. KYC، که مخفف عبارت "شناخت مشتری" (Know Your Customer) است، به روندی اشاره دارد که طی آن شرکتها و کسب و کارها هویت مشتریان خود را بررسی و تأیید میکنند. این فرآیند با هدف جلوگیری از فعالیتهای غیر قانونی نظیر پولشویی، کلاهبرداری، تقلب و تأمین مالی فعالیتهای تروریستی انجام میشود.
Bit24.cash، صرافی ارز دیجیتال در بازار ایران که بیش از 300 سکه و توکن را پشتیبانی میکند، استثنا نیست. در فرآیند KYC، که با هدف مقابله با فعالیتهای مجرمانه انجام میشود، کاربران موظف به تایید هویت خود با بارگذاری اسناد رسمی هستند. با توجه به ماهیت حساس این اسناد که با صرافیها به اشتراک گذاشته میشود، کاربران به حق انتظار دارند سازمانها آنها را به طور ایمن حفظ کنند.
با این حال، محققان تیم امنیتی ابدال یک نمونه حفره امنیتی پیکربندی شده MinIO (یک سیستم ذخیرهسازی اشیاء با عملکرد بالا) را کشف کردند که به طور ناخواسته به مخازن ذخیرهسازی ابری S3 که دادههای KYC را در خود جای داده اند ، دسترسی داده است.
این خطا و حفره امنیتی در پیکربندی حدودا 230,000 شهروند ایرانی را در معرض خطر قرار داده و مدارکی مانند رضایتنامههای کتبی به قوانین، گذرنامهها، کارتهای شناسایی، و اطلاعات کارتهای اعتباری مانند صاحب حساب ، شماره CVV2 و تاریخ انقضا کارت و .. آنها را فاش کرده است. نمونه ای از اطلاعات فاش شده در تصویر فوق مشخص است .
ما برای برقراری ارتباط با این شرکت یعنی صرافی ارز دیجیتال ایرانی بیت 24 تلاش کرده ایم اما پیش از انتشار این مقاله پاسخی دریافت نکردیم. البته این حفره امنیتی امن شده و دیگر قابل دسترسی نیست.
محققان تیم امنیتی ابدال بر ماهیت حیاتی دادههای تایید KYC دستکاری شده در پلتفرمهای مبادله رمزارز تاکید کردند. این مشکل نقض امنیتی جدیای را مطرح میکند، زیرا هکرها میتوانند از دادههای فاش شده برای سرقت هویت، معاملات کلاهبرداری، و حملات فیشینگ سوءاستفاده کنند. با دسترسی به چنین دادههای شخصی و مالی جامعی، هکرها میتوانند هویت افراد را جعل کنند، بدون اجازه به حسابها دسترسی پیدا کنند، معاملات کلاهبردارانه را اجرا کنند، و احتمالا به کاربران آسیبهای مالی و شخصی قابل توجهی وارد کنند.
متاسفانه سالهاست در سیستم های دولتی و غیر دولتی در ایران شاهد نشت اطلاعات حساس ایرانی ها هستیم. در ضمن طی یک نامه به صرافی ارز دیجیتال ایرانی بیت 24 پیشنهاد امن سازی سیستم های این صرافی را ارسال کرده ایم اما هنوز هیچ پاسخی برای ما ارسال نشده است.
آپدیت جدید در شنبه 16 دی 1402
تیم پشتیبانی صرافی ارز دیجیتال ایرانی بیت 24 پاسخ نامه ما را ارسال کرده اند و لینک مقاله و راهنمای این حفره امنیتی برای ایشان ارسال شد . در صورتی که از شرکت بیت 24 این مقاله را مطالعه می کنید لیست حفره های امنیتی MinIO را از اینجا می توانید مشاهده کنید .
آشنایی با قطعه کدی که این حفره امنیتی را به وجود آورده است
// minio/cmd/generic-handlers.go
func setRequestValidityHandler(h http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
// ...
// For all other requests reject access to reserved buckets
bucketName, _ := request2BucketObjectName(r)
if isMinioReservedBucket(bucketName) || isMinioMetaBucket(bucketName) {
if !guessIsRPCReq(r) && !guessIsBrowserReq(r) && !guessIsHealthCheckReq(r) && !guessIsMetricsReq(r) && !isAdminReq(r) && !isKMSReq(r) {
if ok {
tc.FuncName = "handler.ValidRequest"
tc.ResponseRecorder.LogErrBody = true
}
writeErrorResponse(r.Context(), w, errorCodes.ToAPIErr(ErrAllAccessDisabled), r.URL)
return
}
}
// ...
یک مهاجم میتواند با استفاده از درخواستهای ساختگی، از بررسی نام باکت متادیتا عبور کند و در هنگام پردازش PostPolicyBucket، یک شیء را در هر سطلی قرار دهد. برای انجام این حمله، مهاجم به اعتبارنامههایی با دسترسی arn:aws:s3:::* نیاز دارد، همچنین دسترسی فعال به API کنسول لازم است.
دیدگاه های مربوط به این مقاله (برای ارسال دیدگاه در سایت حتما باید عضو باشید و پروفایل کاربری شما تکمیل شده باشد)