Corretora de criptomoedas deixou dados de clientes expostos por dois anos

A descoberta foi feita por Aaron Phillips, jornalista e hacker white hat, que informou a corretora. No entanto, Huobi levou dois anos para corrigir o problema.

Um relatório publicado na última quarta-feira (28) aponta que a Huobi, uma famosa corretora de criptomoedas, tinha uma grande falha de segurança desde 2021. Durante um período de dois anos, diversos dados sensíveis podiam ser acessados por terceiros.

A descoberta foi feita por Aaron Phillips, jornalista e hacker white hat, que informou a corretora. No entanto, Huobi levou dois anos para corrigir o problema.

Segundo a investigação, os dados continham todas as negociações de balcão (OTC, na sigla em ingles) desde 2017, bem como e-mails, IPs e saldos dos usuários. As credenciais expostas também permitiam que terceiros alterassem o conteúdo dos sites da corretora.

“O banco de dados completo contém dezenas de milhões dessas transações.”

Vazamento de dados da corretora de criptomoedas Huobi. Dezenas de transações, contendo ID, IP e saldos de usuários são mostradas. Fonte: Aaron Phillips/Reprodução.
Vazamento de dados da corretora de criptomoedas Huobi. Dezenas de transações, contendo ID, IP e saldos de usuários são mostradas. Fonte: Aaron Phillips/Reprodução.

Em outra captura de tela, Phillips mostra que o arquivo com históricos de transações contém 2 TB. Outro trecho destaca práticas da corretora contra a lavagem de dinheiro, identificando potenciais criminosos.

4.960 clientes de corretora de criptomoedas expostos, incluindo baleias

A investigação aponta que 4.960 usuários da Huobi estavam com seus dados expostos. Em outra captura de tela, também é possível identificar ‘baleias’, ou seja, grandes investidores.

Além do nível da conta, a captura de tela também mostra o nome, país e o telefone destes clientes.

“A Huobi estava claramente interessada em criar relacionamentos com eles.”

Grandes investidores de criptomoedas estavam com seus dados expostos na corretora Huobi. Fonte: Aaron Phillips/Reprodução.
Grandes investidores de criptomoedas estavam com seus dados expostos na corretora Huobi. Fonte: Aaron Phillips/Reprodução.

Segundo Aaron Phillips, o vazamento dos dados iniciou em junho de 2021, quando a Huobi compartilhou, por acidente, um arquivo contendo suas credenciais da AWS. Após investigar o caso, o jornalista logo entrou em contato com a corretora, mas nada foi feito.

Phillips entrou em contato novamente com a Huobi no mês passado, dois anos após o primeiro contato. A corretora então revogou as credenciais vazadas.

Timeline dos acontecimentos mostram que corretora Huobi levou dois anos para corrigir a falha. Fonte: Aaron Phillips/Reprodução.
Timeline dos acontecimentos mostram que corretora Huobi levou dois anos para corrigir a falha. Fonte: Aaron Phillips/Reprodução.

Vazamento de credenciais da Huobi poderia ter consequências devastadoras

Embora o vazamento de dados de clientes seja um desastre por si só, Aaron Phillips apontou que a brecha de segurança na Huobi era ainda pior. Afinal, hackers poderiam ter alterado o conteúdo do site com tais credenciais vazadas.

“Essas credenciais podem ter sido usadas para modificar e controlar muitos dos domínios de Huobi”, informou Phillips. “Os invasores podem ter roubado contas e ativos de usuários, espalhado malware e infectado dispositivos móveis usando a infraestrutura da Huobi.”

“Para hackers black hat, comprometer um CDN é uma das maneiras mais eficazes de injetar código ou malware em um site.”

Alguns dos domínios afetados pela falha de segurança da corretora Huobi. Fonte: Aaron Phillips/Reprodução.
Alguns dos domínios afetados pela falha de segurança da corretora Huobi. Fonte: Aaron Phillips/Reprodução.

Como exemplo, o jornalista notou que hackers poderiam ter acesso a diversos domínios usados para seus sites e aplicativos. Na sequência, afirma que os usuários não conseguem identificar se um arquivo foi alterado. “Eles estão acessando um site confiável”, finalizou.

“Eu tinha controle total sobre os dados de quase todos os aspectos dos negócios da Huobi.”

Por fim, Phillips criticou a Huobi, tanto pela brecha de segurança gigante quanto pelo tempo em que a corretora levou para corrigir o problema. Em outro trecho, revela que nenhum cliente parece ter sido afetado pelo incidente.

“A Huobi tem um histórico de ser uma das exchanges de criptomoedas mais seguras”, finalizou Aaron Phillips. “Mas com uma violação como essa, eles realmente colocam esse histórico em risco.”

Até o fechamento desta reportagem, a Huobi não emitiu comentários sobre o ocorrido. O espaço fica disponível para uma resposta da corretora.

Ganhe um bônus de R$ 100 de boas vindas. Crie a sua conta na melhor corretora de criptomoedas feita para Traders Profissionais. Acesse: bybit.com

Entre no nosso grupo exclusivo do WhatsApp | Siga também no Facebook, Twitter, Instagram, YouTube e Google News.

Henrique HK
Henrique HKhttps://github.com/sabotag3x
Formado em desenvolvimento web há mais de 20 anos, Henrique Kalashnikov encontrou-se com o Bitcoin em 2016 e desde então está desvendando seus pormenores. Tradutor de mais de 100 documentos sobre criptomoedas alternativas, também já teve uma pequena fazenda de mineração com mais de 50 placas de vídeo. Atualmente segue acompanhando as tendências do setor, usando seu conhecimento para entregar bons conteúdos aos leitores do Livecoins.

Últimas notícias

Últimas notícias