FBS 外匯交易平臺上數(shù)百萬人的機密信息，包括姓名、密碼、電子郵件地址、護照號碼、居民ID、信用卡、金融交易記錄等，被白帽團隊 WizCase發(fā)現(xiàn)存在泄露風(fēng)險。

何許人也

FBS 是成立于 2009 年的國際外匯交易公司，在全球 190 個國家/地區(qū)擁有超過 40 萬合作伙伴和 1600 萬名交易員。FBS 是世界上 最受歡迎的在線外匯交易平臺之一。截至 2021 年 1 月，Android 系統(tǒng)的 FBS 應(yīng)用在 Google Play 中的下載次數(shù)已超過一百萬次。

每二十秒就有一筆交易在 FBS 上進(jìn)行，F(xiàn)BS 也是巴塞羅那足球俱樂部的官方合作伙伴。FBS 通過 FBS.com 和 FBS.eu 在全球運營，每年利潤超過 10 億美元。由于金融交易數(shù)據(jù)的核心性與私密性，使得這些運營平臺成為網(wǎng)絡(luò)犯罪分子的極佳目標(biāo)。

什么數(shù)據(jù)

FBS 有一個不安全的 ElasticSearch 對外暴露，其中包含近 20 TB 的數(shù)據(jù)(超過 160 億條記錄)。該服務(wù)器沒有任何密碼保護，其中的財務(wù)數(shù)據(jù)可以自由訪問，這是極其危險的。

百億級別的數(shù)據(jù)暴露，遍布全球數(shù)百萬用戶都受到影響。數(shù)據(jù)包括：

• 姓名
• 電子郵件地址
• 電話號碼
• 賬單地址
• 國家
• 時區(qū)
• IP 地址
• 護照號碼
• 手機型號
• 操作系統(tǒng)
• 社交媒體 ID(包括 Google 和 Facebook)
• 用戶上傳的身份驗證信息

用戶上傳的身份驗證信息十分詳細(xì)，例如個人照片、個人身-份-證、駕照、銀行賬單、信用卡等。

[[390121]]

平臺用戶的詳細(xì)信息如：

• 賬戶 ID
• 賬戶創(chuàng)建日期
• base64 編碼的明文密碼
• 密碼重置鏈接
• 登錄歷史記錄
• 活躍天數(shù)
• 積分等級

未加密的密碼隨處可見：

用戶的詳細(xì)交易明細(xì)信息在泄露的數(shù)據(jù)范圍內(nèi)：

• 貨幣
• 交易 ID
• 賬戶 ID
• 交易日期
• 上次存款金額
• 上次存款日期
• 總存款

可以看到很多數(shù)額特別巨大的交易，例如下面這筆交易為五十萬美元：

這些數(shù)據(jù)對攻擊者來說價值特別巨大，可以用于身份盜用和欺詐、網(wǎng)絡(luò)詐騙、信用卡詐騙、信息勒索、仿冒釣魚、賬戶接管甚至危及人身安全。

如果您是 FBS 用戶，可查看 Wizcase的建議來進(jìn)行補救操作。

參考來源：SecurityAffairs