在線交易經紀商 FBS 數據泄露曝光數十億記錄

ATA Hakcel帶領WizCase的白帽黑客團隊發現了在線交易經紀商FBS網站上的一起重大數據泄露事件。

來自FBS.com和FBS.eu的數據包括數以百萬計的機密記錄，包括名稱，密碼，電子郵件地址，護照號碼，國民ID，信用卡，金融交易等。

如果如此詳細的個人身份信息(PII)落入壞人手中，它可能已被用于執行各種網絡威脅。WizCase正在進行的研究項目的一部分發現了數據泄漏，該項目隨機掃描不安全的服務器并試圖確定誰是這些服務器的所有者。我們已告知FBS違規行為，以便他們可以采取適當措施來保護數據。幾天后，他們回到了我們的手中，并在30分鐘內保護了服務器的安全。

發生了什么

外匯是一種外幣和外匯交易平臺，它是出于多種原因（包括金融，商業，貿易和旅游業）將一種貨幣轉換為另一種貨幣的過程。外匯交易市場平均每日交易量超過5萬億美元。外匯交易可能由銀行和全球金融服務所主導，但是由于有了互聯網，如今普通人可以直接涉足外匯，證券和大宗商品交易。

但是，在熱衷于在線交易的過程中，用戶已將TB級的機密數據委托給了在線外匯交易平臺。由于金融交易是外匯交易的核心，這些交易數據庫中保存的用戶數據的性質非常敏感。這使在線交易網站成為網絡罪犯的豐厚目標。

FBS是一個主要的在線外匯交易網站，留下了一個不安全的ElasticSearch服務器，其中包含近20 TB的數據和超過160億條記錄。盡管包含非常敏感的財務數據，但服務器仍處于打開狀態，沒有任何密碼保護或加密。WizCase團隊發現，任何人都可以訪問FBS信息。違反行為對FBS及其客戶均構成危險。在線交易平臺上的用戶信息應得到妥善保護，以防止類似數據泄露。

誰是FBS

FBS成立于2009年，是一家國際在線外匯經紀公司，擁有40多萬名合作伙伴和1600萬名交易員，分布在190多個國家。它是世界上最受歡迎的在線交易經紀商之一。截至2021年1月，Android操作系統上的FBS應用程序在Google Play Store上的下載量已超過100萬次。

FBS上的交易者數量如此之大，以至于FBS客戶每20秒提交一次提款請求。作為足球巨人巴塞羅那足球俱樂部的官方貿易伙伴，FBS客戶每年可獲利10億美元。盡管FBS通過其平臺FBS.com和FBS.eu在全球范圍內運營，但該公司的主要辦事處位于伯利茲和塞浦路斯利馬索爾。

泄漏了什么？

近20TB的數據泄漏，包括超過160億條記錄。遍布全球的數以百萬計的FBS用戶受到影響。泄漏的信息包括：

PII，例如

• 姓名和姓氏
• 電子郵件地址
• 電話號碼
• 帳單地址
• 國家
• 時區
• IP地址
• 座標
• 護照號碼
• 行動裝置型號
• 操作系統
• 發送給FBS用戶的電子郵件
• 社交媒體ID，包括GoogleID和FacebookID
• 用戶上傳的用于驗證的文件，包括個人照片，身份證，駕駛執照，出生證明，銀行對帳單，水電費賬單和未編輯的信用卡

用戶ID和信用卡照片上傳

用戶詳細信息，例如

• FBS用戶ID
• FBS帳戶創建日期
• 以base64編碼的未加密密碼
• 密碼重置鏈接
• 登錄歷史
• 忠誠度數據，包括忠誠度等級，等級積分，獎勵積分，總存款金額，活躍天數，活躍客戶，獲得的積分和花費的積分

德國用戶帳戶

澳大利亞用戶帳戶

純文本（base64）密碼

財務詳細信息，例如

• 用戶交易明細，包括存款，貨幣，支付系統，交易ID，帳戶ID，交易日期，存款次數，上次存款金額，上次存款日期，總存款，貸方，余額，上個月的余額，利率，稅收，股本和無保證金。一些交易確實很大。

500,000美元的交易

每個數據集將自己為攻擊者提供有價值的信息，但是將所有這些數據集組合在一起將使威脅變得更加嚴峻。

這對FBS及其用戶意味著什么？

FBS及其用戶的主要威脅包括以下內容：

1.身份盜用和欺詐

泄漏暴露的個人身份信息（PII）可用于其他平臺的欺詐性身份驗證。名稱，電子郵件地址，實際地址，護照號碼，駕照號碼，國民身份證號，電話號碼，社交媒體ID，信用卡，照片，財務記錄等可能會使不良行為者冒充所有者。

2.詐騙，網上誘騙和惡意軟件

泄漏的聯系信息可能用于對FBS用戶發起欺詐，網絡釣魚和惡意軟件攻擊。數據可以成為建立信任的基礎，以鼓勵點擊，惡意軟件下載以及更多機密信息的獲取。有了敏感的真實數據，當網絡罪犯通過電話或電子郵件請求信息時，他們的聲音就會更加可信。

3.信用卡欺詐

為了完成卡支付，FBS要求用戶上傳信用卡/借記卡兩面的照片。由于不良行為者可以訪問這些圖像，因此使用該信息進行信用卡欺詐并不難。

4.勒索

借助可訪問的電子郵件地址，實際地址，社交媒體ID和財務記錄，不良行為者可能成為移動量相對較大的勒索用戶的目標。

5.人身安全

由于網絡犯罪分子不僅可以訪問FBS上的金融交易，還可以訪問您的實際地址和電話號碼，因此您或您的房屋可能成為搶劫或入室盜竊的目標。您的交易可能會給犯罪分子暗示您的財務狀況。

6.商業間諜

通過輕松訪問FBS用戶的電子郵件地址和電話號碼，競爭對手可以提取該信息并將其用于定向和吸引用戶使用他們自己的在線交易平臺。網站結構上的源代碼和信息被盜也使第三方更容易克隆FBS網站，然后根據他們的需求進行較小的調整。

7.帳戶接管

泄漏暴露的密碼重置鏈接。通過訪問此類敏感信息，只要攻擊者知道用戶的電子郵件地址，他們就可以輕松接管任何FBS用戶的帳戶。同樣，借助純文本密碼（以base64編碼），并知道許多人會跨平臺重用密碼，網絡犯罪分子可能會嘗試在其他平臺上使用該密碼并接管。

此列表未涵蓋用戶和組織因FBS違規而面臨的所有風險。網絡犯罪分子正在不斷探索將機密信息用于邪惡目的的新方法。