近日，WizCase安全團隊在掃描FBS服務(wù)器時發(fā)現(xiàn)了嚴(yán)重的數(shù)據(jù)泄露事件，數(shù)以百萬計的機密記錄，包括用戶姓名、賬號密碼、電子郵件地址、護照號碼、信用卡、交易數(shù)據(jù)等信息可能落入不法分子手中。

[[390177]]

背景

Forex，是foreign currency(外幣)和exchange(兌換)兩個詞的合成詞，指一種貨幣兌換另一種貨幣的交易過程，交易理由多種多樣，包括金融、商業(yè)、貿(mào)易和旅游。外匯交易市場的日均交易量超過5萬億美元。外匯交易主要由銀行和全球金融服務(wù)主導(dǎo)，但由于有了互聯(lián)網(wǎng)，如今普通人可以直接涉足外匯、證券和大宗商品交易。

在網(wǎng)上交易的熱潮中，用戶產(chǎn)生的TB級的機密數(shù)據(jù)也托付在了外匯交易平臺上。由于金融交易是外匯交易的核心，這些交易數(shù)據(jù)庫中持有的用戶數(shù)據(jù)的性質(zhì)是高度敏感的，也使得在線交易網(wǎng)站成為網(wǎng)絡(luò)罪犯的一個有利可圖的目標(biāo)。

FBS一家國際在線外匯交易平臺，成立于2009年，在全球190個國家/地區(qū)擁有超過40萬名合作伙伴和1600萬名交易員，是世界上核心外匯交易平臺之一。截至2021年1月，F(xiàn)BS應(yīng)用在Google Play商店中的下載次數(shù)已超過一百萬次。

FBS的用戶數(shù)量眾多，每20秒就有用戶提交一次提款請求，也產(chǎn)生了巨大的交易數(shù)據(jù)，然而與此對應(yīng)的卻是一個不安全的ElasticSearch服務(wù)器。研究人員在調(diào)查時發(fā)現(xiàn)FBS服務(wù)器處于開放狀態(tài)，沒有任何密碼保護或加密，任何人都可以訪問FBS的信息。

泄露了什么?

近20TB的數(shù)據(jù)遭到泄漏，涵蓋160億條記錄，全球的數(shù)以百萬計的FBS用戶受到影響。泄漏的信息包括以下內(nèi)容。

用戶基礎(chǔ)信息：

• 姓名和姓氏
• 電子郵件地址
• 電話號碼
• 帳單地址
• 國家
• 時區(qū)
• IP地址
• 座標(biāo)
• 護照號碼
• 移動設(shè)備模型
• 操作系統(tǒng)
• 發(fā)送給FBS用戶的電子郵件
• 社交媒體ID，包括GoogleID和FacebookID
• 用戶上傳供驗證的文件，包括個人照片、身份證、駕照、出生證明、銀行對賬單、水電費和未編輯的信用卡

用戶詳細信息：

• FBS用戶ID
• FBS帳戶創(chuàng)建日期
• 以base64編碼的未加密密碼
• 密碼重置鏈接
• 登錄歷史
• 忠誠度數(shù)據(jù)包括忠誠度等級、等級積分、獎勵積分、累計存款、活躍天數(shù)、活躍客戶、累積積分和消費積分

以及財務(wù)數(shù)據(jù)：

用戶交易信息包括存款金額、貨幣、支付系統(tǒng)、交易id、賬戶id、交易日期、存款次數(shù)、最后存款金額、最后存款日期、存款總額、貸方、余額、上月余額、利率、稅項、股本和可用保證金。

每個數(shù)據(jù)集都可以單獨為攻擊者提供有價值的信息，而所有數(shù)據(jù)集結(jié)合起來會使得用戶面臨的風(fēng)險變得更大。

[[390178]]

圖1.用戶上傳的護照和信用卡照片

圖2.某位德國用戶賬戶信息

圖3.某位澳大利亞用戶賬戶信息

圖4.純文本(base64)密碼

圖5.一筆50萬美金的交易詳單

這對FBS及其用戶意味著什么?

FBS及其用戶面臨的主要威脅包括:

1. 身份盜竊及詐騙

所暴露的個人身份信息可以用于跨其他平臺的欺詐性認(rèn)證，通過姓名、電子郵件地址、實體地址、護照號碼、駕照號碼、身份證號碼、電話號碼、社交媒體ID、信用卡、照片、財務(wù)記錄等等，可以讓不法分子冒充受害者身份。

2. 詐騙、網(wǎng)絡(luò)釣魚和惡意軟件

泄露的聯(lián)系方式可能被用來對FBS用戶發(fā)動詐騙、釣魚和惡意軟件攻擊。有了這些敏感的真實數(shù)據(jù)，網(wǎng)絡(luò)罪犯在電話或電子郵件中要求提供信息時，聽起來會更可信。

3.信用卡詐騙

為了完成信用卡支付，F(xiàn)BS要求用戶上傳信用卡/借記卡兩面的照片。有了這些圖片，不法分子就不難利用這些信息進行信用卡詐騙。

4. 勒索

由于可以訪問電子郵件地址、物理地址、社交媒體id和財務(wù)記錄，不法分子可以鎖定那些轉(zhuǎn)移了相對大量資金的用戶進行勒索。

5. 個人安全

由于網(wǎng)絡(luò)罪犯能獲取用戶在FBS上的財務(wù)交易信息，交易細節(jié)可能會讓犯罪分子對用戶的財務(wù)狀況有所了解，再加上實際地址和電話號碼的泄露，用戶個人或家庭可能成為實施犯罪的目標(biāo)。

6. 商業(yè)間諜活動

不法分子可以提取FBS用戶的電子郵件地址和電話號碼，利用這些信息吸引用戶到他們自己的在線交易平臺。用于定向和吸引用戶使用他們自己的在線交易平臺。該網(wǎng)站結(jié)構(gòu)上的源代碼和信息被盜，也使第三方更容易克隆FBS網(wǎng)站，然后根據(jù)他們的需要進行較小的調(diào)整。

7. 帳戶接管

泄漏暴露的密碼重置鏈接。通過訪問此類敏感信息，只要攻擊者知道用戶的電子郵件地址，他們就可以輕松接管任何FBS用戶的帳戶。此外，有了純文本密碼(用base64編碼)，并知道許多人會跨平臺重用密碼，網(wǎng)絡(luò)罪犯可以嘗試在其他平臺上使用該密碼并接管。

以上未涵蓋用戶和組織因FBS漏洞而面臨的所有風(fēng)險。在研究人員發(fā)現(xiàn)并告知FBS之后，F(xiàn)BS已增加了相應(yīng)的應(yīng)對措施來保障服務(wù)器的安全。

本文翻譯自：https://securityaffairs.co/wordpress/115925/data-breach/fbs-data-breach.html