-
Huobi compartió accidentalmente acceso a sus datos en Amazon Web Services.
-
Cualquiera podría haber editado sus sitios web y acceder a cuentas de usuarios.
Huobi, uno de los exchanges de criptomonedas con mayor volumen de comercio en el mundo, encontró y arregló una falla de seguridad que daba permisos para acceder a su almacenamiento en la nube. Las credenciales estuvieron al descubierto por más de dos años.
Según relata el hacker de sombrero blanco y periodista Aaron Phillips, los servidores de Amazon Web Services que se encontraban en riesgo alojaban los sitios web de Huobi, así como sus CDN (Content Delivery Network o red de entrega de contenido). Había información de sus usuarios y documentación interna que podría haberse filtrado por el error.
De hecho, según el autor del informe, si un hacker hubiera detectado la falla de seguridad de Huobi antes de que la arreglaran, «hubiera tenido la oportunidad de llevar a cabo el robo de criptomonedas más grande de la historia». Es que la equivocación le habría permitido robar tanto las cuentas como los activos de los usuarios de Huobi.
«Una vez que un atacante puede escribir en una CDN, es trivial encontrar una oportunidad para inyectar scripts maliciosos. Y una vez que una CDN está comprometida, todos los sitios que enlazan con ella están potencialmente comprometidos también», explica Phillips. «Para los hackers de sombrero negro, comprometer una CDN es una de las formas más eficaces de inyectar código o malware en un sitio web», agrega.
Aunque Huobi eliminó la cuenta expuesta en la falla de seguridad descrita, la empresa aún no eliminó el archivo y las credenciales todavía se pueden descargar. Afortunadamente para la compañía y para sus usuarios, nadie advirtió sobre esta filtración, que estaba en línea desde junio de 2021. Cabe destacar que ya no existen riesgos para los usuarios del exchange en materia de seguridad, aunque sí de privacidad, por los datos que ya fueron revelados.
Huobi, un exchange donde se comercian millones
Huobi, de origen chino y fundada en 2013, se ubica entre los primeros 15 exchanges con mayor volumen de comercio diario en el mundo, con más de USD 390 millones en las 24 horas previas a la redacción de este artículo. Como referencia, Kraken, el tercero en esta clasificación mundial, comercia más de USD 551 millones cada día.
«Pude escribir y borrar archivos en los 315 buckets de AWS expuestos. (…) subí un archivo a la CDN que Huobi utiliza para almacenar y distribuir su aplicación para Android. Podía leer informes confidenciales y descargar copias de seguridad de bases de datos, así como modificar contenidos en CDN y sitios web. Tenía pleno control sobre los datos de casi todos los aspectos del negocio de Huobi».
—Aaron Phillips, hacker y periodista.
Al relatar cómo dio con este hallazgo, Aaron Phillips dijo: «Como parte de mi esfuerzo por mirar a través de buckets S3 abiertos de Amazon Web Services (AWS), encontré un archivo sensible que contenía credenciales de AWS. Tras investigar un poco, descubrí que las credenciales estaban activas y que la cuenta pertenecía a Huobi».
Como se reportó en CriptoNoticias, Huobi enfrentó ciertos problemas a principios de 2023, tras una ola de despidos en la compañía. Con el recuerdo del exchange FTX todavía fresco en la mente de muchos, los rumores generaron la caída del precio del token de Huobi. Sin embargo, la empresa, que cuenta con el reconocido empresario y fundador de Tron Justin Sun en su junta directiva, parece haber sorteado la tormenta y hasta anunció un viaje a Marte en el transcurso del mes de junio.
