A Huobi, uma das gigantes globais em negociação de criptomoedas, conseguiu identificar e corrigir uma falha crítica de segurança que permitia o acesso à sua infraestrutura de armazenamento em nuvem. De acordo com relatos, as credenciais vulneráveis estavam expostas há mais de dois anos.
O hacker ético e também jornalista Aaron Phillips descobriu que os servidores da Amazon Web Services (AWS), onde a vulnerabilidade residia, hospedavam os sites da Huobi e suas redes de entrega de conteúdo (CDNs).
A falha de segurança poderia ter possibilitado o vazamento de dados do usuário e documentos internos. Phillips alertou que, caso um hacker mal-intencionado tivesse descoberto a falha antes da Huobi, “poderia ter ocorrido o maior roubo de criptomoedas da história”. Isso porque a falha teria permitido o acesso às contas dos usuários e a seus ativos digitais.
“Se um invasor consegue gravar em uma CDN, é fácil encontrar uma oportunidade de injetar scripts maliciosos. Quando uma CDN é comprometida, todos os sites a ela vinculados também são potencialmente comprometidos”, disse Phillips.
Phillips acrescentou que para hackers mal-intencionados, comprometer uma CDN é uma das maneiras mais eficientes de injetar código malicioso ou malware em um site. Embora a Huobi tenha deletado a conta exposta na falha de segurança, o arquivo e as credenciais ainda podiam ser baixados.
Confira nossas sugestões de Pre-Sales para investir agora
Falha na Huobi
Felizmente, a empresa e seus usuários não sofreram danos, já que ninguém parece ter notado a exposição que estava online desde junho de 2021. No entanto, a Huobi ainda enfrenta riscos de privacidade devido à exposição potencial dos dados do usuário.
Fundada em 2013 na China, a Huobi está entre as 15 principais corretoras em volume diário de negociações, com mais de 390 milhões de dólares negociados nas últimas 24 horas. Para referência, a Kraken, terceira neste ranking global, movimenta mais de 551 milhões de dólares por dia.
Phillips disse que ele se deparou com essa descoberta durante sua investigação em repositórios S3 abertos da AWS, onde encontrou um arquivo confidencial contendo as credenciais da AWS. Ele conseguiu confirmar que as credenciais estavam ativas e pertenciam à Huobi.
No início de 2023, a Huobi passou por turbulências após uma série de demissões na empresa, o que gerou rumores e fez o preço de seu token nativo despencar. No entanto, a empresa, que tem o renomado empresário e fundador da Tron, Justin Sun, em seu conselho de administração, parece ter resistido à tempestade e recentemente anunciou uma missão ambiciosa para Marte.
- Leia também: NFT: roubos caem 23% em junho, mostra pesquisa