近日,WizCase安全团队在扫描FBS服务器时发现了严重的数据泄露事件,数以百万计的机密记录,包括用户姓名、账号密码、电子邮件地址、护照号码、信用卡、交易数据等信息可能落入不法分子手中。
背景
Forex,是foreign currency(外币)和exchange(兑换)两个词的合成词,指一种货币兑换另一种货币的交易过程,交易理由多种多样,包括金融、商业、贸易和旅游。外汇交易市场的日均交易量超过5万亿美元。外汇交易主要由银行和全球金融服务主导,但由于有了互联网,如今普通人可以直接涉足外汇、证券和大宗商品交易。
在网上交易的热潮中,用户产生的TB级的机密数据也托付在了外汇交易平台上。由于金融交易是外汇交易的核心,这些交易数据库中持有的用户数据的性质是高度敏感的,也使得在线交易网站成为网络罪犯的一个有利可图的目标。
FBS一家国际在线外汇交易平台,成立于2009年,在全球190个国家/地区拥有超过40万名合作伙伴和1600万名交易员,是世界上核心外汇交易平台之一。截至2021年1月,FBS应用在Google Play商店中的下载次数已超过一百万次。
FBS的用户数量众多,每20秒就有用户提交一次提款请求,也产生了巨大的交易数据,然而与此对应的却是一个不安全的ElasticSearch服务器。研究人员在调查时发现FBS服务器处于开放状态,没有任何密码保护或加密,任何人都可以访问FBS的信息。
泄露了什么?
近20TB的数据遭到泄漏,涵盖160亿条记录,全球的数以百万计的FBS用户受到影响。泄漏的信息包括以下内容。
用户基础信息:
· 姓名和姓氏
· 电子邮件地址
· 电话号码
· 帐单地址
· 国家
· 时区
· IP地址
· 座标
· 护照号码
· 移动设备模型
· 操作系统
· 发送给FBS用户的电子邮件
· 社交媒体ID,包括GoogleID和FacebookID
· 用户上传供验证的文件,包括个人照片、身份证、驾照、出生证明、银行对账单、水电费和未编辑的信用卡
用户详细信息:
· FBS用户ID
· FBS帐户创建日期
· 以base64编码的未加密密码
· 密码重置链接
· 登录历史
· 忠诚度数据包括忠诚度等级、等级积分、奖励积分、累计存款、活跃天数、活跃客户、累积积分和消费积分
以及财务数据:
用户交易信息包括存款金额、货币、支付系统、交易id、账户id、交易日期、存款次数、最后存款金额、最后存款日期、存款总额、贷方、余额、上月余额、利率、税项、股本和可用保证金。
每个数据集都可以单独为攻击者提供有价值的信息,而所有数据集结合起来会使得用户面临的风险变得更大。
图1.某位德国用户账户信息
图2.某位澳大利亚用户账户信息
图3.一笔50万美金的交易详单
这对FBS及其用户意味着什么?
FBS及其用户面临的主要威胁包括:
1. 身份盗窃及诈骗
所暴露的个人身份信息可以用于跨其他平台的欺诈性认证,通过姓名、电子邮件地址、实体地址、护照号码、驾照号码、身份证号码、电话号码、社交媒体ID、信用卡、照片、财务记录等等,可以让不法分子冒充受害者身份。
2. 诈骗、网络钓鱼和恶意软件
泄露的联系方式可能被用来对FBS用户发动诈骗、钓鱼和恶意软件攻击。有了这些敏感的真实数据,网络罪犯在电话或电子邮件中要求提供信息时,听起来会更可信。
3.信用卡诈骗
为了完成信用卡支付,FBS要求用户上传信用卡/借记卡两面的照片。有了这些图片,不法分子就不难利用这些信息进行信用卡诈骗。
4. 勒索
由于可以访问电子邮件地址、物理地址、社交媒体id和财务记录,不法分子可以锁定那些转移了相对大量资金的用户进行勒索。
5. 个人安全
由于网络罪犯能获取用户在FBS上的财务交易信息,交易细节可能会让犯罪分子对用户的财务状况有所了解,再加上实际地址和电话号码的泄露,用户个人或家庭可能成为实施犯罪的目标。
6. 商业间谍活动
不法分子可以提取FBS用户的电子邮件地址和电话号码,利用这些信息吸引用户到他们自己的在线交易平台。用于定向和吸引用户使用他们自己的在线交易平台。该网站结构上的源代码和信息被盗,也使第三方更容易克隆FBS网站,然后根据他们的需要进行较小的调整。
7.帐户接管
泄漏暴露的密码重置链接。通过访问此类敏感信息,只要攻击者知道用户的电子邮件地址,他们就可以轻松接管任何FBS用户的帐户。此外,有了纯文本密码(用base64编码),并知道许多人会跨平台重用密码,网络罪犯可以尝试在其他平台上使用该密码并接管。
以上未涵盖用户和组织因FBS漏洞而面临的所有风险。在研究人员发现并告知FBS之后,FBS已增加了相应的应对措施来保障服务器的安全。[来源:嘶吼网]
【编辑推荐】安企神软件系统加密软件–企业文件保密专家!防拷贝复制、防泄露泄密!轻松实现单位内部文件自动加密保护,加密后的文件在单位内部正常流转使用。
未经许可,任何私自拷贝加密文件外发出去,都将打开为乱码,无法使用!对于发送给客户等第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...