FBS 外匯交易平臺上數百萬人的機密信息，包括姓名、密碼、電子郵件地址、護照號碼、居民ID、信用卡、金融交易記錄等，被白帽團隊 WizCase發現存在泄露風險。

何許人也

FBS 是成立于 2009 年的國際外匯交易公司，在全球 190 個國家/地區擁有超過 40 萬合作伙伴和 1600 萬名交易員。FBS 是世界上 最受歡迎的在線外匯交易平臺之一。截至 2021 年 1 月，Android 系統的 FBS 應用在 Google Play 中的下載次數已超過一百萬次。

每二十秒就有一筆交易在 FBS 上進行，FBS 也是巴塞羅那足球俱樂部的官方合作伙伴。FBS 通過 FBS.com 和 FBS.eu 在全球運營，每年利潤超過 10 億美元。由于金融交易數據的核心性與私密性，使得這些運營平臺成為網絡犯罪分子的極佳目標。

什么數據

FBS 有一個不安全的 ElasticSearch 對外暴露，其中包含近 20 TB 的數據(超過 160 億條記錄)。該服務器沒有任何密碼保護，其中的財務數據可以自由訪問，這是極其危險的。

百億級別的數據暴露，遍布全球數百萬用戶都受到影響。數據包括：

• 姓名
• 電子郵件地址
• 電話號碼
• 賬單地址
• 國家
• 時區
• IP 地址
• 護照號碼
• 手機型號
• 操作系統
• 社交媒體 ID(包括 Google 和 Facebook)
• 用戶上傳的身份驗證信息

用戶上傳的身份驗證信息十分詳細，例如個人照片、個人身-份-證、駕照、銀行賬單、信用卡等。

[[390121]]

平臺用戶的詳細信息如：

• 賬戶 ID
• 賬戶創建日期
• base64 編碼的明文密碼
• 密碼重置鏈接
• 登錄歷史記錄
• 活躍天數
• 積分等級

未加密的密碼隨處可見：

用戶的詳細交易明細信息在泄露的數據范圍內：

• 貨幣
• 交易 ID
• 賬戶 ID
• 交易日期
• 上次存款金額
• 上次存款日期
• 總存款

可以看到很多數額特別巨大的交易，例如下面這筆交易為五十萬美元：

這些數據對攻擊者來說價值特別巨大，可以用于身份盜用和欺詐、網絡詐騙、信用卡詐騙、信息勒索、仿冒釣魚、賬戶接管甚至危及人身安全。

如果您是 FBS 用戶，可查看 Wizcase的建議來進行補救操作。

參考來源：SecurityAffairs