Nasza firma ZdalnyAdmin.com.pl coraz częściej świadczy usługi dla firm, działających na ogólnoświatowym rynku kryptowalut takich jak Bitcoin, Litecoin czy Etherum. Jest to obecnie bardzo szybko rozwijająca się gałąź rynku finansowego. Szacuje się, że całkowita kapitalizacja cyfrowych walut oscyluje wokół 30 miliardów dolarów. Jest to bardzo łakomy kąsek dla cyberprzestępców, którzy nie wychodząc z domów mogą bardzo szybko się wzbogacić.
to internetowa giełda popularnych kryptowalut, która chcąc wejść na rynek poprosiła nas więc o wykonanie testów penetracyjnych. Jest to dowód dojrzałości kierownictwa firmy na to, że bezpieczeństwo stawiają na najwyższym poziomie.
Nasz zespół, mający już doświadczenie w testach penetracyjnych giełd kryptowalut, kantorów oraz innych firm z branży FinTech zdawał sobie sprawę co jest głównym celem osób, które chciałyby przełamać bezpieczeństwo takiej giełdy – jest nim uzyskanie dostępów do portfeli, w których znajdują się kryptowaluty, w celu ich kradzieży.
Od klienta otrzymaliśmy internetowy adres giełdy wraz z dostępem do utworzonych na tą okazję kont użytkowników giełdy.
Zaczęliśmy od rekonesansu, który pozwolił nam uzyskać z kilku miejsc w systemie prawdziwy adres IP serwera giełdy. Dzięki czemu udało nam się podłączyć do serwera giełdy bezpośrednio, a nie za pośrednictwem oryginalnej domeny internetowej, która była chroniona za pomocą CloudFlare przed atakami DDoS oraz atakami na aplikacje internetowe za pomocą firewalla aplikacyjnego (WAF).
Dzięki powyższej operacji udało nam się znaleźć szereg mniejszych błędów w aplikacji klienta takich jak Cross-site scripting (XSS), Cross-site request forgery (CSRF), Full Path Disclosure czy dostęp do paneli administracyjnych giełdą jak również bazą danych. Nie potrafiliśmy się zalogować do uzyskanych paneli administracyjnych, a opisane wcześniej błędy pozwoliły by nam na zaatakowanie głównie klientów giełdy, a nie jej samej – nie chcieliśmy atakować administratorów, naszym celem od razu była giełda.
Po kilku dniach pracy natrafiliśmy na atak SQL Injection w jednym z przesyłanych do serwera nagłówków HTTP. Atak ten pozwolił nam uzyskać dostęp do bazy danych. Dzięki temu mogliśmy pobrać informację o użytkownikach giełdy, zmienić swoje saldo i kupić za to bitcoiny. Niestety w ten sposób giełdy nie dałoby się okraść ponieważ właściciele giełdy stawiając security na najwyższym poziomie, wprowadzili procedurę, że każda wypłata pieniędzy z giełdy musi być zweryfikowana przez pracowników i jeśli wszystko jest w porządku wypłata jest ręcznie potwierdzana. To co chcieliśmy zrobić wzbudziło by zaraz podejrzenia i taka wypłata na pewno nie została by potwierdzona.
Oczywiście SQL Injection jako podatność krytyczna jest bardzo niebezpieczna, mogliśmy pobrać dane klientów (login, hasło) następnie spróbować je złamać i zalogować się na konta danych użytkowników – niestety nie znaliśmy soli, którą były solone hasła.
Po kolejnych dniach pracy udało nam się zmusić serwer do tego, aby zaczął nam wysyłać nie tylko pliki wynikowe (HTML, JS) ale również pliki źródłowe co pozwoliło nam praktycznie na skopiowanie źródeł całej giełdy kryptowalut. W jednym z takich plików odnaleźliśmy dostęp do portfeli kryptowalut – osiągnęliśmy nasz cel. Każdy haker atakujący giełdę osiągnął by go właśnie teraz. Kradzież środków okazała się możliwa, a nasz zespół oprócz dostępu do portfeli kryptowalut uzyskał również dostępy do portfeli u pośredników płatności – szybkie przelewy, smsy.
W tym momencie mieliśmy już wszystko: źródła giełdy nad którą wiele miesięcy pracowali właściciele, dostępy do portfeli kryptowalut oraz kont u pośredników płatności. Jeśli bylibyśmy przestępcami to moglibyśmy się nielegalnie wzbogacić jak również uruchomić identyczną giełdę, nie wydając złotówki na jej stworzenie – ukradlibyśmy wielomiesięczny efekt pracy właścicieli giełdy.
Oczywiście nie wypłaciliśmy żadnych środków. Poinformowaliśmy klienta o tym co udało się nam uzyskać. Właściciele giełdy poprawili wskazane przez nas podatności oraz poprosili nas o wykonanie testu penetracyjnego raz jeszcze – chcieli mieć pewność, że teraz będą już bezpieczni.
Kształtowanie świadomości bezpieczeństwa i zagrożeń oraz świadomości obowiązku ochrony informacji stanowi dowód dojrzałości kierownictwa firmy. Jest to wymóg bezpieczeństwa biznesu, na który stać każdego przedsiębiorcę bez względu na wielkość organizacji.
Prace, które wykonujemy na rzecz branży FinTech pokazują nam, że powyższa sytuacja zdarza się w wielu 'atakowanych’ przez naszych specjalistów. Kilka tygodni wcześniej również udało nam się uzyskać dostęp do portfeli innej giełdy oraz kantoru bitcoinowego.
Wszystko co robimy jest zawsze zgodne z prawem, nigdy nie atakujemy serwerów bez wyraźnej prośby ich właścicieli. Nasz celem to poprawa bezpieczeństwa.
Klientom giełdy www.beatcoin.pl należy pogratulować wyboru, wybrali giełdę za którą stoją ludzie, dla których bezpieczeństwo Klientów jest najważniejsze.