FBS 外匯交易平臺(tái)上數(shù)百萬(wàn)人的機(jī)密信息，包括姓名、密碼、電子郵件地址、護(hù)照號(hào)碼、居民ID、信用卡、金融交易記錄等，被白帽團(tuán)隊(duì) WizCase發(fā)現(xiàn)存在泄露風(fēng)險(xiǎn)。

何許人也

FBS 是成立于 2009 年的國(guó)際外匯交易公司，在全球 190 個(gè)國(guó)家/地區(qū)擁有超過(guò) 40 萬(wàn)合作伙伴和 1600 萬(wàn)名交易員。FBS 是世界上 最受歡迎的在線外匯交易平臺(tái)之一。截至 2021 年 1 月，Android 系統(tǒng)的 FBS 應(yīng)用在 Google Play 中的下載次數(shù)已超過(guò)一百萬(wàn)次。

每二十秒就有一筆交易在 FBS 上進(jìn)行，F(xiàn)BS 也是巴塞羅那足球俱樂(lè)部的官方合作伙伴。FBS 通過(guò) FBS.com 和 FBS.eu 在全球運(yùn)營(yíng)，每年利潤(rùn)超過(guò) 10 億美元。由于金融交易數(shù)據(jù)的核心性與私密性，使得這些運(yùn)營(yíng)平臺(tái)成為網(wǎng)絡(luò)犯罪分子的極佳目標(biāo)。

什么數(shù)據(jù)

FBS 有一個(gè)不安全的 ElasticSearch 對(duì)外暴露，其中包含近 20 TB 的數(shù)據(jù)(超過(guò) 160 億條記錄)。該服務(wù)器沒(méi)有任何密碼保護(hù)，其中的財(cái)務(wù)數(shù)據(jù)可以自由訪問(wèn)，這是極其危險(xiǎn)的。

百億級(jí)別的數(shù)據(jù)暴露，遍布全球數(shù)百萬(wàn)用戶都受到影響。數(shù)據(jù)包括：

• 姓名
• 電子郵件地址
• 電話號(hào)碼
• 賬單地址
• 國(guó)家
• 時(shí)區(qū)
• IP 地址
• 護(hù)照號(hào)碼
• 手機(jī)型號(hào)
• 操作系統(tǒng)
• 社交媒體 ID(包括 Google 和 Facebook)
• 用戶上傳的身份驗(yàn)證信息

用戶上傳的身份驗(yàn)證信息十分詳細(xì)，例如個(gè)人照片、個(gè)人身-份-證、駕照、銀行賬單、信用卡等。

[[390121]]

平臺(tái)用戶的詳細(xì)信息如：

• 賬戶 ID
• 賬戶創(chuàng)建日期
• base64 編碼的明文密碼
• 密碼重置鏈接
• 登錄歷史記錄
• 活躍天數(shù)
• 積分等級(jí)

未加密的密碼隨處可見(jiàn)：

用戶的詳細(xì)交易明細(xì)信息在泄露的數(shù)據(jù)范圍內(nèi)：

• 貨幣
• 交易 ID
• 賬戶 ID
• 交易日期
• 上次存款金額
• 上次存款日期
• 總存款

可以看到很多數(shù)額特別巨大的交易，例如下面這筆交易為五十萬(wàn)美元：

這些數(shù)據(jù)對(duì)攻擊者來(lái)說(shuō)價(jià)值特別巨大，可以用于身份盜用和欺詐、網(wǎng)絡(luò)詐騙、信用卡詐騙、信息勒索、仿冒釣魚(yú)、賬戶接管甚至危及人身安全。

如果您是 FBS 用戶，可查看 Wizcase的建議來(lái)進(jìn)行補(bǔ)救操作。

參考來(lái)源：SecurityAffairs