主要加密货币交易所发生数据泄露,用户钱包及密码暴露
- 浏览次数 816
- 喜欢 0
HackerNews 编译,转载请注明出处:
一个未受保护的MongoDB数据库暴露了数百万条记录,涵盖双重认证码、哈希密码及钱包地址等敏感信息。更严重的是,这些数据已公开访问长达数月。
网络安全研究团队Cybernews发现,属于加密货币交易平台NCX的一个未设防数据库正在泄露大量敏感信息。该数据集包含多个数据集合,总计超过500万条记录。
研究团队指出:"NCX声称提供安全、快速、透明的加密货币交易服务,但此次泄露事件严重质疑了这些承诺,特别是在用户隐私和运营安全方面。"
泄露数据详情
暴露的1GB多数据包含全球用户的:
- 全名、用户名及出生日期
- 电子邮箱地址
- 用户上传的身份证明文件链接(KYC验证)
- 双重认证码及相关URL
- 内部API密钥
- IP地址
- 哈希密码
- 头像URL
- 加密密钥
- 钱包地址及相关区块链交易信息
- 存取款记录、货币类型及冻结状态
- 客服日志及帮助中心通讯记录
研究人员发现数据存储于八个不同集合中,最大的集合包含超过200万条记录。所有数据均为最新,表明系统正处于活跃使用状态。
影响与建议
此次泄露使用户面临身份盗用、账户接管和加密货币钱包被盗等多重威胁。研究团队已向该公司进行负披露,但未获回应。
专家建议NCX立即采取以下措施:
- 立即下线MongoDB实例或通过防火墙限制访问
- 启用凭证访问和传输加密
- 更换暴露的2FA密钥并使秘密URL失效
- 通知受影响用户和监管机构
- 进行全面的取证审计
对于用户,研究人员建议:
- 考虑将资金转移至其他平台
- 警惕关于加密货币或投资的任何通讯
- 可注册信用监控服务以防身份盗用
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文