目录导航
阿拉木图Hakcil率领的白帽子黑客团队WizCase识别网上交易经纪商FBS的网站一个主要的数据泄漏。来自FBS.com和FBS.eu的数据包括数以百万计的机密记录,包括名称,密码,电子邮件地址,护照号码,国民ID,信用卡,金融交易等。
如果这些详细的个人身份信息(PII)落入了不正确的人之手,它可能已被用于执行各种网络威胁。WizCase正在进行的研究项目的一部分发现了数据泄漏,该项目随机扫描不安全的服务器并试图确定谁是这些服务器的所有者。我们已告知FBS违规行为,以便他们可以采取适当的措施来保护数据。几天后,他们回到了我们的手中,并在30分钟内保护了服务器的安全。
这是怎么回事
外汇是一种外币和外汇交易平台,它是出于多种原因将一种货币转换为另一种货币的过程,包括金融,商业,贸易和旅游业。外汇交易市场平均每日交易量超过5万亿美元。外汇交易可能由银行和全球金融服务所主导,但是由于有了互联网,如今普通人可以直接涉足外汇,证券和大宗商品交易。
但是,在热衷于在线交易的过程中,用户已将TB级的机密数据委托给了在线外汇交易平台。由于金融交易是外汇交易的核心,这些交易数据库中保存的用户数据的性质非常敏感。这使在线交易网站成为网络罪犯的丰厚目标。
FBS是一个主要的在线外汇交易网站,留下了一个不安全的ElasticSearch服务器,其中包含近20 TB的数据和超过160亿条记录。尽管包含非常敏感的财务数据,但服务器仍处于打开状态,没有任何密码保护或加密。WizCase团队发现,任何人都可以访问FBS信息。违反行为对FBS及其客户均构成危险。在线交易平台上的用户信息应得到妥善保护,以防止类似数据泄露。
谁是FBS
FBS成立于2009年,是一家国际在线外汇经纪商,在全球190个国家/地区拥有40万多个合作伙伴和1600万交易员。它是世界上最受欢迎的在线交易经纪人之一。截至2021年1月,适用于Android操作系统的FBS应用在Google Play商店中的下载次数已超过一百万次。
FBS上的交易者数量如此之大,以至于FBS客户每20秒提交一次提款请求。作为足球巨人巴塞罗那足球俱乐部的官方贸易伙伴,FBS客户每年可获利10亿美元。尽管FBS通过其平台FBS.com和FBS.eu在全球范围内运营,但该公司的主要办事处分别位于伯利兹和塞浦路斯利马索尔。
泄漏了什么?
近20TB的数据泄漏,包括超过160亿条记录。遍布全球的数以百万计的FBS用户受到影响。泄漏的信息包括以下内容:
PII
- 姓名和姓氏
- 电子邮件地址
- 电话号码
- 帐单地址
- 国家
- 时区
- IP地址
- 座标
- 护照号码
- 行动装置型号
- 操作系统
- 发送给FBS用户的电子邮件
- 社交媒体ID,包括GoogleID和FacebookID
- 用户上传的用于验证的文件,包括个人照片,国民身份证,驾驶执照,出生证明,银行账户对帐单,水电费账单和未编辑的信用卡
用户ID和信用卡照片
用户详细信息,例如
- FBS用户ID
- FBS帐户创建日期
- 以base64编码的未加密密码
- 密码重置链接
- 登录历史
- 忠诚度数据,包括忠诚度等级,等级积分,奖励积分,总存款金额,活跃天数,活跃客户,获得的积分和花费的积分
德国用户帐户
澳大利亚用户帐户
纯文本(base64)密码
财务详细信息,例如
- 用户交易明细,包括存款,货币,支付系统,交易ID,帐户ID,交易日期,存款次数,上次存款金额,上次存款日期,总存款,贷方,余额,上个月的余额,利率,税收,股本和无保证金。一些交易确实很大。
500,000美元的交易
每个数据集将自己为攻击者提供有价值的信息,但是将所有这些数据集组合在一起将使威胁变得更加严峻。
这对FBS及其用户意味着什么?
FBS及其用户的主要威胁包括以下内容:
1.身份盗用和欺诈
泄漏暴露的个人身份信息(PII)可用于其他平台的欺诈性身份验证。名称,电子邮件地址,实际地址,护照号码,驾照号码,国民身份证号,电话号码,社交媒体ID,信用卡,照片,财务记录等可能会使不良行为者冒充所有者。
2.诈骗,网上诱骗和恶意软件
泄漏的联系信息可能用于对FBS用户发起欺诈,网络钓鱼和恶意软件攻击。数据可以成为建立信任的基础,以鼓励点击,恶意软件下载以及更多机密信息的获取。有了敏感的真实数据,当网络罪犯通过电话或电子邮件请求信息时,他们的声音就会更加可信。
3.信用卡欺诈
为了完成卡支付,FBS要求用户上传信用卡/借记卡两面的照片。由于不良行为者可以访问这些图像,因此使用该信息进行信用卡欺诈并不难。
4.勒索
借助可访问的电子邮件地址,实际地址,社交媒体ID和财务记录,不良行为者可能成为移动量较大的勒索用户的目标。
5.人身安全
由于网络犯罪分子不仅可以访问FBS上的金融交易,还可以访问您的实际地址和电话号码,因此您或您的房屋可能成为抢劫或入室盗窃的目标。您的交易可能会给犯罪分子暗示您的财务状况。
6.商业间谍
通过轻松访问FBS用户的电子邮件地址和电话号码,竞争对手可以提取该信息并将其用于定向和吸引用户使用他们自己的在线交易平台。网站结构上的源代码和信息被盗,也使第三方更容易克隆FBS网站,然后根据他们的需要进行较小的调整。
7.帐户接管
泄漏暴露的密码重置链接。通过访问此类敏感信息,只要攻击者知道用户的电子邮件地址,他们就可以轻松接管任何FBS用户的帐户。此外,有了纯文本密码(用base64编码),并知道许多人会跨平台重用密码,网络罪犯可以尝试在其他平台上使用该密码并接管。
此列表未涵盖用户和组织因FBS违规而面临的所有风险。网络犯罪分子正在不断探索将机密信息用于邪恶目的的新方法。
作为FBS用户,您应该怎么做?
一旦意识到了漏洞,至关重要的是您必须快速行动并执行以下操作。
1.接触FBS
WizCase于2020年10月1日发现了泄漏,并于10月2日联系了FBS。随后,FBS在10月5日保护了服务器。但是,如果他们尚未就有关违规行为与您联系,请与FBS联系。
从丢失的PII中恢复可能既耗时又昂贵。通常,当一家公司意识到自己遭受了数据泄漏时,他们会为他们的用户和客户提供帮助,以最大程度地减少数据泄露的影响。这可以使您获得服务或产品的访问权限,否则您将需要付费或进行漫长的过程才能获得这些服务和产品。提供的服务可能包括身份或信用监控。
2.更改密码并启用2FA
FSB ElasticSearch数据库以以base64编码的纯文本格式存储密码。这使得它们可以使用易于访问的工具进行解密。您不仅应立即更改FSB密码,而且还应使其更复杂。通过包括小写,大写,数字和符号。如果您在其他平台或应用上使用了相同的密码,请确保也进行了更改。避免重用密码。
如果您使用的网站没有90天的密码更改规则,请养成每90天手动更改一次密码的习惯。如果平台具有两因素身份验证(2FA)选项,请选择加入。使用两因素身份验证,不良行为者即使拥有密码,也将无法使用您的凭据登录。
3.检查欺诈,异常活动
如果您已将您的卡图片发送给FBS,请立即通知您的银行或卡提供商您的卡详细信息已被破坏。大多数卡的背面都有一个免费电话号码。确保您与人类代表交谈。银行卡提供商或银行将立即取消该卡,并在您需要时发行一张新卡。
密切注意您的财务报表中是否存在异常和欺诈行为。大多数卡提供商和银行都提供电子邮件或文本警报服务,以在发生交易时通知您。但是,要有自己的例程,例如定期检查语句。不要只是寻找大笔付款或提款。一些罪犯会选择多次小额交易,因为这些交易不太可能引起人们的注意。
联系信用报告局,让他们在您的名字上放置欺诈警报。注册身份或信用监视服务,以监视使用情况以及您的个人或财务信息的更改。
4.不要打开可疑链接或附件
由于您的电子邮件地址可能会落入犯罪分子的手中,因此您应该为大量的网络钓鱼电子邮件和带有恶意软件的附件做好准备。如果您收到从未与您打过交道的人的不请自来的电子邮件,请不要单击其中的链接或附件。打开链接可能会将您发送到一个欺诈网站,该网站欺骗您与犯罪分子共享更多机密信息。而且,单击电子邮件附件可以将恶意软件下载到您的个人设备上或您所工作的组织的网络上。
5.不要通过电话或电子邮件共享机密信息
错误的演员可能会使用从FBS泄漏中提取的数据来发送电子邮件并给用户打电话。请勿通过电子邮件或电话共享要求您提供的任何个人机密信息。如果您认为请求是真实的,请首先通过其官方电话号码与公司联系。
6.使用VPN
FBS数据泄漏包括用户IP地址。这些可以用来跟踪人的位置。您可以使用虚拟专用网络(VPN)屏蔽或更改IP地址。这一方面在您的设备或浏览器与另一方面在在线平台或应用程序(例如FBS)之间创建了一条加密的隧道。这样,任何人如果偶然发现您保存在FBS数据库中的IP地址,都无法告诉您确切的位置。
7.安装反恶意软件
安装反恶意软件软件可以阻止恶意软件攻击,并清除可能已经下载到设备上的所有病毒,特洛伊木马和间谍软件。当您要打开可疑链接或访问受恶意软件感染的网页时,许多反恶意软件应用程序也会提醒您。该应用程序还将扫描您的电子邮件中是否存在网络钓鱼迹象。如果您已经安装了反恶意软件,请确保它是最新版本。
8.人身安全
仅仅因为网络空间中发生了数据泄漏,并不意味着您面临的风险完全是虚拟的。FBS数据泄漏除了金融交易外还包括诸如实际地址,电话号码之类的信息。犯罪分子可以对似乎进行大量交易的用户进行配置,并将其作为入室盗窃或勒索的目标。
由于搬家对于大多数人来说是不切实际的,因此请安装或加强您的家庭安全系统。在重要位置安装摄像机,以接获近期发生在您家周围的任何可疑活动。
9.当心您分享的内容
当心您与FBS以及与任何其他在线平台或移动应用程序共享的信息。尽量做到最低限度,仅提供所需的信息。注册或交易表单上未标记为必填项的任何字段均应保留为空白。如果要求您上传身份证,驾照,信用卡和其他敏感个人信息的照片,请删除与该公司无关的信息,并仅公开您的全名和有限的详细信息,否则这些信息不会对您造成伤害曾经泄漏过。
这样,如果您的个人资料信息在数据泄漏后暴露,则可以最大程度地降低风险。登录您的FBS帐户并删除所有非强制性的配置文件信息。