社区编辑申请
注册/登录
网上交易经纪商数据泄露,数十亿FBS记录被曝光
安全
FBS 外汇交易平台上数百万人的机密信息,包括姓名、密码、电子邮件地址、护照号码、居民ID、信用卡、金融交易记录等,被白帽团队 WizCase发现存在泄露风险。

FBS 外汇交易平台上数百万人的机密信息,包括姓名、密码、电子邮件地址、护照号码、居民ID、信用卡、金融交易记录等,被白帽团队 WizCase发现存在泄露风险。

何许人也

FBS 是成立于 2009 年的国际外汇交易公司,在全球 190 个国家/地区拥有超过 40 万合作伙伴和 1600 万名交易员。FBS 是世界上 最受欢迎的在线外汇交易平台之一。截至 2021 年 1 月,Android 系统的 FBS 应用在 Google Play 中的下载次数已超过一百万次。

每二十秒就有一笔交易在 FBS 上进行,FBS 也是巴塞罗那足球俱乐部的官方合作伙伴。FBS 通过 FBS.com 和 FBS.eu 在全球运营,每年利润超过 10 亿美元。由于金融交易数据的核心性与私密性,使得这些运营平台成为网络犯罪分子的极佳目标。

什么数据

FBS 有一个不安全的 ElasticSearch 对外暴露,其中包含近 20 TB 的数据(超过 160 亿条记录)。该服务器没有任何密码保护,其中的财务数据可以自由访问,这是极其危险的。

百亿级别的数据暴露,遍布全球数百万用户都受到影响。数据包括:

  • 姓名
  • 电子邮件地址
  • 电话号码
  • 账单地址
  • 国家
  • 时区
  • IP 地址
  • 护照号码
  • 手机型号
  • 操作系统
  • 社交媒体 ID(包括 Google 和 Facebook)
  • 用户上传的身份验证信息

用户上传的身份验证信息十分详细,例如个人照片、个人身-份-证、驾照、银行账单、信用卡等。

平台用户的详细信息如:

  • 账户 ID
  • 账户创建日期
  • base64 编码的明文密码
  • 密码重置链接
  • 登录历史记录
  • 活跃天数
  • 积分等级

未加密的密码随处可见:

用户的详细交易明细信息在泄露的数据范围内:

  • 货币
  • 交易 ID
  • 账户 ID
  • 交易日期
  • 上次存款金额
  • 上次存款日期
  • 总存款

可以看到很多数额特别巨大的交易,例如下面这笔交易为五十万美元:

这些数据对攻击者来说价值特别巨大,可以用于身份盗用和欺诈、网络诈骗、信用卡诈骗、信息勒索、仿冒钓鱼、账户接管甚至危及人身安全。

如果您是 FBS 用户,可查看 Wizcase的建议来进行补救操作。

参考来源:SecurityAffairs

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-03-29 10:13:35

数据泄漏漏洞网络攻击

2022-05-20 11:06:39

谷歌信息安全

2022-02-15 09:44:12

数据泄露漏洞网络攻击

2020-05-26 15:39:13

数据泄露漏洞信息安全

2022-02-25 16:01:30

区块链技术去中心化

2021-04-09 08:37:47

黑客数据泄露网络攻击

2021-04-06 09:25:06

网络安全数据技术

2020-03-06 11:27:05

2021-08-16 10:20:13

2022-01-02 06:56:35

2021-04-06 11:06:02

Facebook黑客论坛泄露的数据

2021-08-16 09:36:06

2021-11-10 06:20:18

2019-12-27 09:42:55

2021-08-18 16:38:14

2021-11-24 16:21:03

2021-10-07 11:50:46

2021-08-02 08:23:30

2021-10-08 08:21:24

2021-04-08 22:38:15

加密货币安全数据

同话题下的热门内容

Github突遭大规模恶意攻击,大量加密密钥可能泄露!什么是UPnP?它有何危险?怎样提高网络数据安全性知名半导体制造商Semikron遭勒索软件攻击经销商技术部-防SQL注入实践正确的 WAF 配置对网络安全是如此重要火了十几年的零信任,为啥还不能落地一起看看21个网络安全优秀实践

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号