FBS外汇交易平台发生数据泄露,数十亿记录被曝光


2021-3-30 9:05

FBS外汇交易平台上数百万人的机密信息,包括姓名、密码、电子邮件地址、护照号码、居民ID、信用卡、金融交易记录等,被白帽团队WizCase发现存在泄露风险。

何许人也

FBS是成立于2009年的国际外汇交易公司,在全球190个国家/地区拥有超过40万合作伙伴和1600万名交易员。FBS是世界上最受欢迎的在线外汇交易平台之一。截至2021年1月,Android系统的FBS应用在Google Play中的下载次数已超过一百万次。

每二十秒就有一笔交易在FBS上进行,FBS也是巴塞罗那足球俱乐部的官方合作伙伴。FBS通过FBS.com和FBS.eu在全球运营,每年利润超过10亿美元。由于金融交易数据的核心性与私密性,使得这些运营平台成为网络犯罪分子的极佳目标。

什么数据

FBS有一个不安全的ElasticSearch对外暴露,其中包含近20 TB的数据(超过160亿条记录)。该服务器没有任何密码保护,其中的财务数据可以自由访问,这是极其危险的。

百亿级别的数据暴露,遍布全球数百万用户都受到影响。数据包括:

  • 姓名
  • 电子邮件地址
  • 电话号码
  • 账单地址
  • 国家
  • 时区
  • IP地址
  • 护照号码
  • 手机型号
  • 操作系统
  • 社交媒体ID(包括Google和Facebook)
  • 用户上传的身份验证信息

用户上传的身份验证信息十分详细,例如个人照片、个人身-份-证、驾照、银行账单、信用卡等。

平台用户的详细信息如:

  • 账户ID
  • 账户创建日期
  • base64编码的明文密码
  • 密码重置链接
  • 登录历史记录
  • 活跃天数
  • 积分等级

未加密的密码随处可见:

用户的详细交易明细信息在泄露的数据范围内:

  • 货币
  • 交易ID
  • 账户ID
  • 交易日期
  • 上次存款金额
  • 上次存款日期
  • 总存款

可以看到很多数额特别巨大的交易,例如下面这笔交易为五十万美元:

这些数据对攻击者来说价值特别巨大,可以用于身份盗用和欺诈、网络诈骗、信用卡诈骗、信息勒索、仿冒钓鱼、账户接管甚至危及人身安全。

如果您是FBS用户,可查看Wizcase的建议来进行补救操作。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606