炒股大本营(www.dzyb.cn)讯:不少科(ke)技公司会对外提出(chu)悬赏,希望世界各地的白帽黑客(拥(yong)有高道德的黑客)为自家产品做(zuo)渗透测试,以此(ci)修弥漏洞来让产品更加完善,这类(lei)和外界离散的技术人员、工程师的(de)互动,也形成业界(jie)的良性循环。
而加密产业内也不乏这(zhe)种例子,许多交易所、公链(lian)项目、链上协议都提出过(guo)高额奖金作为漏洞悬赏;但知名(ming)白帽黑客Corben Leo在18日公开了他先前找出(chu)KuCoin交易(yi)所的个资外泄漏洞(dong),原本最高悬赏100万美元的奖金,Corben收到的奖(jiang)金仅为5,000美(mei)元,他不禁抱怨「是(shi)漏掉一个零吗?」
Corben Leo查出KuCoin个资外泄
现年23岁的Coben Leo曾替Google、Microsoft、Apple、Yahoo、美国(guo)国防部、ASUS、Nike等知名公(gong)司找出产品漏洞,身为白帽黑(hei)客的他,同时也(ye)对区块链与加密(mi)产业安全问题相当关注。
根据Coben Leo的文章(zhang)描述,在3月底(di),他发现KuCoin交易所在Web3漏洞悬赏平台(tai)HackenProof发布最高额100万美元的奖金(jin),在与HackenProof确认后(hou),Coben Leo决(jue)定测试KuCoin是否有漏洞(dong)。
在注册Kucoin后,Coben利(li)用安全测试工具Burp Suite开始分析Kucoin的http request,意外发现(xian)KuCoin所使用的云端客服服务Zendesk存在权限漏洞,让他能以没有管理员权限的情况下(xia),利用KuCoin当作(zuo)代理,取得API权限调阅KuCoin的客服(fu)内容(ticket),甚至是每个利用客服开票的用(yong)户完整个资,包括IP、账号资讯,数(shu)量超过27万笔。
奖金起(qi)争议
在4月18日,Coben Leo向KuCoin通(tong)知了这个漏洞,23日,KuCoin向他回应:嗨先生,这个问题已经被(bei)修复,在我们团队讨论(lun)后,结果如下,信息外泄(xie)的影响层面:部分用户的姓名与email信息被外泄(不是每(mei)个人都使用Zendesk,所以外泄数量有限)。所以这个(ge)漏洞评比未到严(yan)重等级,奖金细节(jie)为:信息外泄奖(jiang)金2000美元(yuan)、Zendesk API未授权连线(xian)奖金3000美元(yuan),总奖金5000美元。
Coben Leo在文章(zhang)内不禁抱怨「我(wo)觉得他们少了一个零…」
在与KuCoin提出抗议后,Coben Leo并(bing)未得到回复,与HackenProof平台展开调解后,也未得到回应。Coben提到这个漏(lou)洞因为不能触及钱包,并不会(hui)影响KuCoin的金融功能。但对这个「悬赏计划」相当不满的他,在文末狠狠酸了KuCoin和(he)HackenProof一顿:如果你(ni)想去黑HackenProof,千万不要,因为我也不认为(wei)KuCoin是间交易所。(意指他不认为HackenProof是个黑客平台(tai))