漏洞預警 | 交易所10086coin存在多處嚴重漏洞,可致用戶大量敏感資訊洩露
前言
從今年9月17日開始,就有多個白帽在BUGX.IO平臺上提交了關於10086coin交易所的漏洞,其中不乏嚴重漏洞,能夠造成大量的敏感資訊洩露漏洞,使用者需謹慎交易!
事件
10086coin是一家移動區塊鏈數字資產交易平臺。交易平臺自2016年11月開始籌備,在2018年7.28日專案正式上線。該交易平臺支援BTC、ETH、USDT和C86等主流交易貨幣。平臺24小時成交額:¥630,165,052(交易資料來源非小號)。
BUGX.IO平臺從九月中旬開始陸續收到白帽提交的10086coin交易平臺漏洞,稽核人員在確認漏洞後及時通過郵件與10086coin交易平臺有關人員聯絡,廠商至今未回覆,希望廠商儘快進行漏洞認領和修復漏洞,保護好10086coin交易平臺交易信息以及平臺使用者的個人敏感資訊。在此也希望各個交易平臺和區塊鏈相關的網站,提高安全意識,若收到相關漏洞郵件後及時聯絡,儘快修復相關漏洞。
漏洞分析
2.1、嚴重的敏感資訊洩露
根據白帽子反饋的漏洞情況顯示,在10086coin的某處連線處洩露處xml檔案目錄樹,在此連線處洩露出大量的使用者資訊,有使用者敏感資訊(郵箱、手機號、姓名、身份證號等資訊),平臺使用者交易資訊,還有大量使用者手持身份證照片。
1、洩露資訊之excel表格
通過正常訪問可以洩露的網頁,我們可以發現這個洩露資訊的頁面共洩露出來346個excel表格資訊和表格訪問路徑。
簡單訪問了一下這些表格,發現這些表格裡面竟然有使用者敏感資訊。這張表裡有幾千個使用者資訊,有使用者姓名、手機號、身份證號、郵箱等敏感資訊。
而且有的表格是網站的交易資訊,能看到使用者交易時間、交易量、交易幣種等資訊。通過表格上的時間可以看到這個網站近期進行的交易。
2、資訊洩露之身份證圖片
在這個頁面的下方還有一些身份證圖片的連結,簡單統計下,大概有524張。
大部分圖片連結是身份證資訊的敏感資訊,同時也存在大量清晰的手持身份證圖片。
在這些資訊洩露出來使用者的身份證圖片加上excel表格洩露的使用者敏感資訊,這樣10086COIN交易平臺把使用者很全面的個人資訊全都洩露了出來,對使用者的損害極大。
3、資訊洩露之文件
平臺洩露出來的不光有使用者資訊和交易資訊,還有網站的一些文件。比如網站的規則和一些合同等資訊等。
2.2、設計缺陷
平臺白帽子不僅發現此平臺的資訊洩露漏洞,也發現平臺上的其他漏洞。如設計缺陷。在平臺上在稽核的一些證件號可填寫不正確的證件號,可以反覆大量提交一些不正確的身份證號操作,惡意篡改個人資訊。