网上交易经纪商数据泄露,数十亿FBS记录被曝光

安全
FBS 外汇交易平台上数百万人的机密信息,包括姓名、密码、电子邮件地址、护照号码、居民ID、信用卡、金融交易记录等,被白帽团队 WizCase发现存在泄露风险。

FBS 外汇交易平台上数百万人的机密信息,包括姓名、密码、电子邮件地址、护照号码、居民ID、信用卡、金融交易记录等,被白帽团队 WizCase发现存在泄露风险。

何许人也

FBS 是成立于 2009 年的国际外汇交易公司,在全球 190 个国家/地区拥有超过 40 万合作伙伴和 1600 万名交易员。FBS 是世界上 最受欢迎的在线外汇交易平台之一。截至 2021 年 1 月,Android 系统的 FBS 应用在 Google Play 中的下载次数已超过一百万次。

每二十秒就有一笔交易在 FBS 上进行,FBS 也是巴塞罗那足球俱乐部的官方合作伙伴。FBS 通过 FBS.com 和 FBS.eu 在全球运营,每年利润超过 10 亿美元。由于金融交易数据的核心性与私密性,使得这些运营平台成为网络犯罪分子的极佳目标。

什么数据

FBS 有一个不安全的 ElasticSearch 对外暴露,其中包含近 20 TB 的数据(超过 160 亿条记录)。该服务器没有任何密码保护,其中的财务数据可以自由访问,这是极其危险的。

百亿级别的数据暴露,遍布全球数百万用户都受到影响。数据包括:

  • 姓名
  • 电子邮件地址
  • 电话号码
  • 账单地址
  • 国家
  • 时区
  • IP 地址
  • 护照号码
  • 手机型号
  • 操作系统
  • 社交媒体 ID(包括 Google 和 Facebook)
  • 用户上传的身份验证信息

用户上传的身份验证信息十分详细,例如个人照片、个人身-份-证、驾照、银行账单、信用卡等。

[[390121]]

平台用户的详细信息如:

  • 账户 ID
  • 账户创建日期
  • base64 编码的明文密码
  • 密码重置链接
  • 登录历史记录
  • 活跃天数
  • 积分等级

未加密的密码随处可见:

用户的详细交易明细信息在泄露的数据范围内:

  • 货币
  • 交易 ID
  • 账户 ID
  • 交易日期
  • 上次存款金额
  • 上次存款日期
  • 总存款

可以看到很多数额特别巨大的交易,例如下面这笔交易为五十万美元:

这些数据对攻击者来说价值特别巨大,可以用于身份盗用和欺诈、网络诈骗、信用卡诈骗、信息勒索、仿冒钓鱼、账户接管甚至危及人身安全。

如果您是 FBS 用户,可查看 Wizcase的建议来进行补救操作。

参考来源:SecurityAffairs

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2011-01-21 11:50:53

2022-03-05 00:08:52

网络安全交易

2020-06-22 10:06:15

数据网络泄露

2015-12-21 16:24:25

2020-06-29 15:17:06

数据库安全 Oracle

2009-11-10 14:16:15

网上交易交易风险实体交易

2024-04-08 11:28:14

2013-02-21 10:16:08

云端交易HadoopPangool

2021-03-29 10:13:35

数据泄漏漏洞网络攻击

2020-09-17 11:02:40

BLESA蓝牙攻击漏洞

2015-09-16 09:19:57

2024-08-28 16:11:07

2022-11-23 14:08:49

2024-12-06 11:58:16

2021-04-13 10:25:04

数据泄露Clubhouse信息安全

2021-12-17 11:29:03

WiFi漏洞芯片

2020-05-20 12:52:03

漏洞攻击蓝牙

2013-01-22 17:33:30

2015-03-03 09:52:02

点赞
收藏

51CTO技术栈公众号