近日，WizCase安全團隊在掃描FBS服務器時發現了嚴重的數據泄露事件，數以百萬計的機密記錄，包括用戶姓名、賬號密碼、電子郵件地址、護照號碼、信用卡、交易數據等信息可能落入不法分子手中。

[[390177]]

背景

Forex，是foreign currency(外幣)和exchange(兌換)兩個詞的合成詞，指一種貨幣兌換另一種貨幣的交易過程，交易理由多種多樣，包括金融、商業、貿易和旅游。外匯交易市場的日均交易量超過5萬億美元。外匯交易主要由銀行和全球金融服務主導，但由于有了互聯網，如今普通人可以直接涉足外匯、證券和大宗商品交易。

在網上交易的熱潮中，用戶產生的TB級的機密數據也托付在了外匯交易平臺上。由于金融交易是外匯交易的核心，這些交易數據庫中持有的用戶數據的性質是高度敏感的，也使得在線交易網站成為網絡罪犯的一個有利可圖的目標。

FBS一家國際在線外匯交易平臺，成立于2009年，在全球190個國家/地區擁有超過40萬名合作伙伴和1600萬名交易員，是世界上核心外匯交易平臺之一。截至2021年1月，FBS應用在Google Play商店中的下載次數已超過一百萬次。

FBS的用戶數量眾多，每20秒就有用戶提交一次提款請求，也產生了巨大的交易數據，然而與此對應的卻是一個不安全的ElasticSearch服務器。研究人員在調查時發現FBS服務器處于開放狀態，沒有任何密碼保護或加密，任何人都可以訪問FBS的信息。

泄露了什么?

近20TB的數據遭到泄漏，涵蓋160億條記錄，全球的數以百萬計的FBS用戶受到影響。泄漏的信息包括以下內容。

用戶基礎信息：

• 姓名和姓氏
• 電子郵件地址
• 電話號碼
• 帳單地址
• 國家
• 時區
• IP地址
• 座標
• 護照號碼
• 移動設備模型
• 操作系統
• 發送給FBS用戶的電子郵件
• 社交媒體ID，包括GoogleID和FacebookID
• 用戶上傳供驗證的文件，包括個人照片、身份證、駕照、出生證明、銀行對賬單、水電費和未編輯的信用卡

用戶詳細信息：

• FBS用戶ID
• FBS帳戶創建日期
• 以base64編碼的未加密密碼
• 密碼重置鏈接
• 登錄歷史
• 忠誠度數據包括忠誠度等級、等級積分、獎勵積分、累計存款、活躍天數、活躍客戶、累積積分和消費積分

以及財務數據：

用戶交易信息包括存款金額、貨幣、支付系統、交易id、賬戶id、交易日期、存款次數、最后存款金額、最后存款日期、存款總額、貸方、余額、上月余額、利率、稅項、股本和可用保證金。

每個數據集都可以單獨為攻擊者提供有價值的信息，而所有數據集結合起來會使得用戶面臨的風險變得更大。

[[390178]]

圖1.用戶上傳的護照和信用卡照片

圖2.某位德國用戶賬戶信息

圖3.某位澳大利亞用戶賬戶信息

圖4.純文本(base64)密碼

圖5.一筆50萬美金的交易詳單

這對FBS及其用戶意味著什么?

FBS及其用戶面臨的主要威脅包括:

1. 身份盜竊及詐騙

所暴露的個人身份信息可以用于跨其他平臺的欺詐性認證，通過姓名、電子郵件地址、實體地址、護照號碼、駕照號碼、身份證號碼、電話號碼、社交媒體ID、信用卡、照片、財務記錄等等，可以讓不法分子冒充受害者身份。

2. 詐騙、網絡釣魚和惡意軟件

泄露的聯系方式可能被用來對FBS用戶發動詐騙、釣魚和惡意軟件攻擊。有了這些敏感的真實數據，網絡罪犯在電話或電子郵件中要求提供信息時，聽起來會更可信。

3.信用卡詐騙

為了完成信用卡支付，FBS要求用戶上傳信用卡/借記卡兩面的照片。有了這些圖片，不法分子就不難利用這些信息進行信用卡詐騙。

4. 勒索

由于可以訪問電子郵件地址、物理地址、社交媒體id和財務記錄，不法分子可以鎖定那些轉移了相對大量資金的用戶進行勒索。

5. 個人安全

由于網絡罪犯能獲取用戶在FBS上的財務交易信息，交易細節可能會讓犯罪分子對用戶的財務狀況有所了解，再加上實際地址和電話號碼的泄露，用戶個人或家庭可能成為實施犯罪的目標。

6. 商業間諜活動

不法分子可以提取FBS用戶的電子郵件地址和電話號碼，利用這些信息吸引用戶到他們自己的在線交易平臺。用于定向和吸引用戶使用他們自己的在線交易平臺。該網站結構上的源代碼和信息被盜，也使第三方更容易克隆FBS網站，然后根據他們的需要進行較小的調整。

7. 帳戶接管

泄漏暴露的密碼重置鏈接。通過訪問此類敏感信息，只要攻擊者知道用戶的電子郵件地址，他們就可以輕松接管任何FBS用戶的帳戶。此外，有了純文本密碼(用base64編碼)，并知道許多人會跨平臺重用密碼，網絡罪犯可以嘗試在其他平臺上使用該密碼并接管。

以上未涵蓋用戶和組織因FBS漏洞而面臨的所有風險。在研究人員發現并告知FBS之后，FBS已增加了相應的應對措施來保障服務器的安全。

本文翻譯自：https://securityaffairs.co/wordpress/115925/data-breach/fbs-data-breach.html