Huobi, uno de los intercambios de criptomonedas más grandes del mundo, encontró y solucionó una falla de seguridad que otorgaba permisos para acceder a su almacenamiento en la nube. Las credenciales estuvieron a la vista durante más de dos años.

De acuerdo a cuenta hacker de sombrero blanco y periodista Aaron Phillips, los servidores comprometidos de Amazon Web Services alojaban los sitios web de Huobi, así como su CDN (Content Delivery Network o red de entrega de contenido). Había información de sus usuarios y documentación interna que podría haber sido filtrada por el error.

De hecho, según el autor del informe, si un hacker hubiera descubierto la falla de seguridad de Huobi antes de que fuera reparada, “habría tenido la oportunidad de llevar a cabo el robo de criptomonedas más grande de la historia”. La cosa es el error le habría permitido robar tanto las cuentas como los activos de los usuarios de Huobi.

“Una vez que un atacante puede escribir en un CDN, es trivial encontrar una oportunidad para inyectar scripts maliciosos. Y una vez que se compromete una CDN, todos los sitios que se vinculan a ella también se ven potencialmente comprometidos”, explica Phillips. “Para los hackers de sombrero negro, comprometer una CDN es una de las formas más efectivas de inyectar código o malware en un sitio web”, agrega.

Aunque Huobi eliminó la cuenta expuesta en la falla de seguridad descrita, la empresa aún no ha eliminado el archivo y las credenciales todavía se puede descargar. Afortunadamente para la empresa y sus usuarios, nadie alertó sobre esta filtración, que estaba en línea desde junio de 2021. Cabe señalar que ya no existen riesgos de seguridad para los usuarios de intercambio, aunque sí riesgos de privacidad, debido a los datos que tienen. ya ha sido revelado.

Huobi, un intercambio donde se intercambian millones

Huobi, de origen chino y fundada en 2013, se encuentra entre los 15 principales intercambios con el mayor volumen diario de transacciones en el mundomás que $ 390 millones en las 24 horas anteriores a la redacción de este artículo. Como referencia, Kraken, tercero en este ranking mundial, cotiza más de $551 millones cada día.

“Pude escribir y eliminar archivos en los 315 depósitos de AWS expuestos. (…) Subí un archivo a la CDN que usa Huobi para almacenar y distribuir su aplicación para Android. Podría leer informes confidenciales y descargar copias de seguridad de bases de datos, así como modificar contenido en CDN y sitios web. Tenía el control total de los datos sobre casi todos los aspectos del negocio de Huobi”.

—Aaron Phillips, hacker y periodista

Al contar cómo se encontró con este hallazgo, Aaron Phillips dijo: “Como parte de mi esfuerzo por buscar en los depósitos S3 abiertos de Amazon Web Services (AWS), encontré un archivo confidencial que contenía las credenciales de AWS. Después de investigar un poco, descubrí que las credenciales estaban activas y que la cuenta pertenecía a Huobi”.

Como se informó en CriptoNoticias, Huobi se enfrentó ciertos problemas a principios de 2023, tras una oleada de despidos en la compañia. Con el recuerdo del intercambio FTX aún fresco en la mente de muchos, los rumores generaron el caída de los precios de la ficha Huobi. Sin embargo, la empresa, que tiene en su junta directiva al reconocido empresario y fundador de Tron Justin Sun, parece haber capeado el temporal e incluso anunció un viaje a Marte durante el mes de junio.