漏洞预警 | 交易所10086coin存在多处严重漏洞,可致用户大量敏感信息泄露 – 作者:BUGX

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

前言

从今年9月17日开始,就有多个白帽在BUGX.IO平台上提交了关于10086coin交易所的漏洞,其中不乏严重漏洞,能够造成大量的敏感信息泄露漏洞,用户需谨慎交易!

事件

图片 2.png

10086coin是一家移动区块链数字资产交易平台。交易平台自2016年11月开始筹备,在2018年7.28日项目正式上线。该交易平台支持BTC、ETH、USDT和C86等主流交易货币。平台24小时成交额:¥630,165,052(交易数据来源非小号)。

图片 3.png

BUGX.IO平台从九月中旬开始陆续收到白帽提交的10086coin交易平台漏洞,审核人员在确认漏洞后及时通过邮件与10086coin交易平台有关人员联系,厂商至今未回复,希望厂商尽快进行漏洞认领和修复漏洞,保护好10086coin交易平台交易信息以及平台用户的个人敏感信息。在此也希望各个交易平台和区块链相关的网站,提高安全意识,若收到相关漏洞邮件后及时联系,尽快修复相关漏洞。

漏洞分析

2.1、严重的敏感信息泄露

根据白帽子反馈的漏洞情况显示,在10086coin的某处连接处泄露处xml文件目录树,在此连接处泄露出大量的用户信息,有用户敏感信息(邮箱、手机号、姓名、身份证号等信息),平台用户交易信息,还有大量用户手持身份证照片。

1、泄露信息之excel表格

通过正常访问可以泄露的网页,我们可以发现这个泄露信息的页面共泄露出来346个excel表格信息和表格访问路径。

图片 4.png

简单访问了一下这些表格,发现这些表格里面竟然有用户敏感信息。这张表里有几千个用户信息,有用户姓名、手机号、身份证号、邮箱等敏感信息。

图片 5.png

而且有的表格是网站的交易信息,能看到用户交易时间、交易量、交易币种等信息。通过表格上的时间可以看到这个网站近期进行的交易。

图片 6.png

2、信息泄露之身份证图片

在这个页面的下方还有一些身份证图片的链接,简单统计下,大概有524张。

图片 8.png

大部分图片链接是身份证信息的敏感信息,同时也存在大量清晰的手持身份证图片。

图片 8.png

在这些信息泄露出来用户的身份证图片加上excel表格泄露的用户敏感信息,这样10086COIN交易平台把用户很全面的个人信息全都泄露了出来,对用户的损害极大。

3、信息泄露之文档

平台泄露出来的不光有用户信息和交易信息,还有网站的一些文档。比如网站的规则和一些合同等信息等。

图片 10.png

图片 11.png

2.2、设计缺陷

平台白帽子不仅发现此平台的信息泄露漏洞,也发现平台上的其他漏洞。如设计缺陷。在平台上在审核的一些证件号可填写不正确的证件号,可以反复大量提交一些不正确的身份证号操作,恶意篡改个人信息。

图片 12.png

结论

安全无小事,区块链行业正在起步和发展,安全问题频繁发生,我们无法预测以后可能会发生的问题,但是在问题暴露出来,应该引起重视,保护好平台和用户安全。

*本文作者:BUGX,转载请注明来自FreeBuf.COM

来源:freebuf.com 2018-11-10 13:00:56 by: BUGX

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论