在线交易经纪商 FBS 数据泄露曝光数十亿记录 - 网安 - 专业的网络安全产业、社区、知识平台

ATA Hakcel带领WizCase的白帽黑客团队发现了在线交易经纪商FBS网站上的一起重大数据泄露事件。

来自FBS.com和FBS.eu的数据包括数以百万计的机密记录，包括名称，密码，电子邮件地址，护照号码，国民ID，信用卡，金融交易等。

如果如此详细的个人身份信息(PII)落入坏人手中，它可能已被用于执行各种网络威胁。WizCase正在进行的研究项目的一部分发现了数据泄漏，该项目随机扫描不安全的服务器并试图确定谁是这些服务器的所有者。我们已告知FBS违规行为，以便他们可以采取适当措施来保护数据。几天后，他们回到了我们的手中，并在30分钟内保护了服务器的安全。

发生了什么

外汇是一种外币和外汇交易平台，它是出于多种原因（包括金融，商业，贸易和旅游业）将一种货币转换为另一种货币的过程。外汇交易市场平均每日交易量超过5万亿美元。外汇交易可能由银行和全球金融服务所主导，但是由于有了互联网，如今普通人可以直接涉足外汇，证券和大宗商品交易。

但是，在热衷于在线交易的过程中，用户已将TB级的机密数据委托给了在线外汇交易平台。由于金融交易是外汇交易的核心，这些交易数据库中保存的用户数据的性质非常敏感。这使在线交易网站成为网络罪犯的丰厚目标。

FBS是一个主要的在线外汇交易网站，留下了一个不安全的ElasticSearch服务器，其中包含近20 TB的数据和超过160亿条记录。尽管包含非常敏感的财务数据，但服务器仍处于打开状态，没有任何密码保护或加密。WizCase团队发现，任何人都可以访问FBS信息。违反行为对FBS及其客户均构成危险。在线交易平台上的用户信息应得到妥善保护，以防止类似数据泄露。

谁是FBS

FBS成立于2009年，是一家国际在线外汇经纪公司，拥有40多万名合作伙伴和1600万名交易员，分布在190多个国家。它是世界上最受欢迎的在线交易经纪商之一。截至2021年1月，Android操作系统上的FBS应用程序在Google Play Store上的下载量已超过100万次。

FBS上的交易者数量如此之大，以至于FBS客户每20秒提交一次提款请求。作为足球巨人巴塞罗那足球俱乐部的官方贸易伙伴，FBS客户每年可获利10亿美元。尽管FBS通过其平台FBS.com和FBS.eu在全球范围内运营，但该公司的主要办事处位于伯利兹和塞浦路斯利马索尔。

泄漏了什么？

近20TB的数据泄漏，包括超过160亿条记录。遍布全球的数以百万计的FBS用户受到影响。泄漏的信息包括：

PII，例如

姓名和姓氏
电子邮件地址
电话号码
帐单地址
国家
时区
IP地址
座标
护照号码
行动装置型号
操作系统
发送给FBS用户的电子邮件
社交媒体ID，包括GoogleID和FacebookID
用户上传的用于验证的文件，包括个人照片，身份证，驾驶执照，出生证明，银行对帐单，水电费账单和未编辑的信用卡

用户ID和信用卡照片上传

用户名和信用卡照片

用户ID照片

用户详细信息，例如

FBS用户ID
FBS帐户创建日期
以base64编码的未加密密码
密码重置链接
登录历史
忠诚度数据，包括忠诚度等级，等级积分，奖励积分，总存款金额，活跃天数，活跃客户，获得的积分和花费的积分

德国用户帐户

已编辑的德国用户帐户

澳大利亚用户帐户

已编辑的澳大利亚用户帐户

纯文本（base64）密码

编辑的纯文本密码

财务详细信息，例如

用户交易明细，包括存款，货币，支付系统，交易ID，帐户ID，交易日期，存款次数，上次存款金额，上次存款日期，总存款，贷方，余额，上个月的余额，利率，税收，股本和无保证金。一些交易确实很大。

500,000美元的交易

已编辑的500,000笔交易

每个数据集将自己为攻击者提供有价值的信息，但是将所有这些数据集组合在一起将使威胁变得更加严峻。

这对FBS及其用户意味着什么？

FBS及其用户的主要威胁包括以下内容：

1.身份盗用和欺诈

泄漏暴露的个人身份信息（PII）可用于其他平台的欺诈性身份验证。名称，电子邮件地址，实际地址，护照号码，驾照号码，国民身份证号，电话号码，社交媒体ID，信用卡，照片，财务记录等可能会使不良行为者冒充所有者。

2.诈骗，网上诱骗和恶意软件

泄漏的联系信息可能用于对FBS用户发起欺诈，网络钓鱼和恶意软件攻击。数据可以成为建立信任的基础，以鼓励点击，恶意软件下载以及更多机密信息的获取。有了敏感的真实数据，当网络罪犯通过电话或电子邮件请求信息时，他们的声音就会更加可信。

3.信用卡欺诈

为了完成卡支付，FBS要求用户上传信用卡/借记卡两面的照片。由于不良行为者可以访问这些图像，因此使用该信息进行信用卡欺诈并不难。

4.勒索

借助可访问的电子邮件地址，实际地址，社交媒体ID和财务记录，不良行为者可能成为移动量相对较大的勒索用户的目标。

5.人身安全

由于网络犯罪分子不仅可以访问FBS上的金融交易，还可以访问您的实际地址和电话号码，因此您或您的房屋可能成为抢劫或入室盗窃的目标。您的交易可能会给犯罪分子暗示您的财务状况。

6.商业间谍

通过轻松访问FBS用户的电子邮件地址和电话号码，竞争对手可以提取该信息并将其用于定向和吸引用户使用他们自己的在线交易平台。网站结构上的源代码和信息被盗也使第三方更容易克隆FBS网站，然后根据他们的需求进行较小的调整。

7.帐户接管

泄漏暴露的密码重置链接。通过访问此类敏感信息，只要攻击者知道用户的电子邮件地址，他们就可以轻松接管任何FBS用户的帐户。同样，借助纯文本密码（以base64编码），并知道许多人会跨平台重用密码，网络犯罪分子可能会尝试在其他平台上使用该密码并接管。

此列表未涵盖用户和组织因FBS违规而面临的所有风险。网络犯罪分子正在不断探索将机密信息用于邪恶目的的新方法。