传奇黑客Corben Leo查出KuCoin个资外泄:悬赏100万美元、奖金仅5千美元

来源:211COIN

2023-05-20 18:35:46

不少科技公司会对外提出悬赏,希望世界各地的白帽黑客(拥有高道德的黑客)为自家产品做渗透测试,以此修弥漏洞来让产品更加完善,这类和外界离散的技术人员、工程师的互动,也形成业界的良性循环。

传奇黑客Corben Leo查出KuCoin个资外泄:悬赏100万美元、奖金仅5千美元

而加密产业内也不乏这种例子,许多交易所、公链专案、链上协议都提出过高额奖金作为漏洞悬赏;但知名白帽黑客Corben Leo在18日公开了他先前找出KuCoin交易所的个资外泄漏洞,原本最高悬赏100万美元的奖金,Corben收到的奖金仅为5,000美元,他不禁抱怨“是漏掉一个零吗?”

Corben Leo查出KuCoin个资外泄

现年23岁的Coben Leo曾替Google、Microsoft、Apple、Yahoo、美国国防部、ASUS、Nike等知名公司找出产品漏洞,身为白帽黑客的他,同时也对区块链与加密产业安全问题相当关注。

传奇黑客Corben Leo查出KuCoin个资外泄:悬赏100万美元、奖金仅5千美元

根据CobenLeo的网志文章描述,在3月底,他发现KuCoin交易所在Web3漏洞悬赏平台Hacken Proof发布最高额100万美元的奖金,在与Hacken Proof确认后,Coben Leo决定测试KuCoin是否有漏洞。

传奇黑客Corben Leo查出KuCoin个资外泄:悬赏100万美元、奖金仅5千美元

图源:businesswire

在注册Kucoin后,Coben利用安全测试工具Burp Suite开始分析Kucoin的httprequest,意外发现KuCoin所使用的云端客服服务Zendesk存在权限漏洞,让他能以没有管理员权限的情况下,利用KuCoin当作代理,取得API权限调阅KuCoin的客服票内容(ticket),甚至是每个利用客服开票的用户完整个资,包括IP、帐号资讯,数量超过27万笔。

奖金起争议

在4月18日,Coben Leo向KuCoin通知了这个漏洞,23日,KuCoin向他回应:“嗨先生,这个问题已经被修复,在我们团队讨论后,结果如下,资讯外泄的影响层面:部分用户的姓名与email资讯被外泄(不是每个人都使用Zendesk,所以外泄数量有限)。所以这个漏洞评比未到严重等级,奖金细节为:资讯外泄奖金2000美元、Zendesk API未授权连线奖金3000美元,总奖金5000美元。”

CobenLeo在文章内不禁抱怨“我觉得他们少了一个零…”

在与KuCoin提出抗议后,Coben Leo并未得到回覆,与HackenProof平台展开调解后,也未得到回应。Coben提到这个漏洞因为不能触及钱包,并不会影响KuCoin的金融功能。但对这个“悬赏计划”相当不满的他,在文末狠狠酸了KuCoin和Hacken Proof一顿:“如果你想去黑Hacken Proof,千万不要,因为我也不认为KuCoin是间交易所。(意指他不认为Hacken Proof是个黑客平台)”

211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
微信:yelbtc 请注明来意 | 邮箱:[email protected]

Copyright © 2018-2022 211COIN版权所有.

京ICP备17000885号-3