售前咨询
技术支持
渠道合作

FBS外汇交易平台遭遇重大数据泄漏

近日,WizCase安全团队在扫描FBS服务器时发现了严重的数据泄露事件,数以百万计的机密记录,包括用户姓名、账号密码、电子邮件地址、护照号码、信用卡、交易数据等信息可能落入不法分子手中。

FBS遭遇攻击

FBS是成立于2009年的国际外汇交易公司,在全球190个国家/地区拥有超过40万合作伙伴和1600万名交易员。FBS是世界上 最受欢迎的在线外汇交易平台之一。截至2021年1月,Android系统的FBS应用在Google Play中的下载次数已超过一百万次。

每二十秒就有一笔交易在FBS上进行,FBS也是巴塞罗那足球俱乐部的官方合作伙伴。FBS通过FBS.com 和FBS.eu在全球运营,每年利润超过10亿美元。由于金融交易数据的核心性与私密性,使得这些运营平台成为网络犯罪分子的极佳目标。

泄露了什么?

近20TB的数据遭到泄漏,涵盖160亿条记录,全球的数以百万计的FBS用户受到影响。泄漏的信息包括以下内容。

用户基础信息:姓名和姓氏、电子邮件地址、电话号码、帐单地址、国家、时区、IP地址、座标、护照号码、移动设备模型、操作系统、发送给FBS用户的电子邮件、社交媒体ID,包括GoogleID和FacebookID、用户上传供验证的文件,包括个人照片、身份证、驾照、出生证明、银行对账单、水电费和未编辑的信用卡

用户详细信息: FBS用户ID、FBS帐户创建日期、以base64编码的未加密密码、密码重置链接、登录历史、忠诚度数据包括忠诚度等级、等级积分、奖励积分、累计存款、活跃天数、活跃客户、累积积分和消费积分

以及财务数据:

用户交易信息包括存款金额、货币、支付系统、交易id、账户id、交易日期、存款次数、最后存款金额、最后存款日期、存款总额、贷方、余额、上月余额、利率、税项、股本和可用保证金。

每个数据集都可以单独为攻击者提供有价值的信息,而所有数据集结合起来会使得用户面临的风险变得更大。

图1.用户上传的护照和信用卡照片

图2.某位德国用户账户信息

图3.某位澳大利亚用户账户信息

这对FBS及其用户意味着什么?

FBS及其用户面临的主要威胁包括:

  1. 身份盗窃及诈骗

所暴露的个人身份信息可以用于跨其他平台的欺诈性认证,通过姓名、电子邮件地址、实体地址、护照号码、驾照号码、身份证号码、电话号码、社交媒体ID、信用卡、照片、财务记录等等,可以让不法分子冒充受害者身份。

  1. 诈骗、网络钓鱼和恶意软件

泄露的联系方式可能被用来对FBS用户发动诈骗、钓鱼和恶意软件攻击。有了这些敏感的真实数据,网络罪犯在电话或电子邮件中要求提供信息时,听起来会更可信。

3.信用卡诈骗

为了完成信用卡支付,FBS要求用户上传信用卡/借记卡两面的照片。有了这些图片,不法分子就不难利用这些信息进行信用卡诈骗。

  1. 勒索

由于可以访问电子邮件地址、物理地址、社交媒体id和财务记录,不法分子可以锁定那些转移了相对大量资金的用户进行勒索。

  1. 个人安全

由于网络罪犯能获取用户在FBS上的财务交易信息,交易细节可能会让犯罪分子对用户的财务状况有所了解,再加上实际地址和电话号码的泄露,用户个人或家庭可能成为实施犯罪的目标。

  1. 商业间谍活动

不法分子可以提取FBS用户的电子邮件地址和电话号码,利用这些信息吸引用户到他们自己的在线交易平台。用于定向和吸引用户使用他们自己的在线交易平台。该网站结构上的源代码和信息被盗,也使第三方更容易克隆FBS网站,然后根据他们的需要进行较小的调整。

7.帐户接管

泄漏暴露的密码重置链接。通过访问此类敏感信息,只要攻击者知道用户的电子邮件地址,他们就可以轻松接管任何FBS用户的帐户。此外,有了纯文本密码(用base64编码),并知道许多人会跨平台重用密码,网络罪犯可以尝试在其他平台上使用该密码并接管。

数字时代,更多人倾向于减少现金交易,使用数字货币,这无形中增加了信息数据泄露的风险。这种情况下,保证信息安全,揪出破坏数据与行业发展的蛀虫,有力惩治泄露用户信息的行为,显得更为重要。

企业保护个人信息方法

1、 企业应部署SSL证书。为了防止用户误入假冒网站/钓鱼网站的陷阱,企业网站应部署数安时代SSL证书或更高级别的EV SSL证书,将企业网站和钓鱼网站区分开,网址栏展示HTTPS、安全锁以及证书中的网站真实身份信息,让用户拥有足够的信息判断网站真实性,对比之下,假冒网站立显原形。

2、 企业应为软件进行代码签名证书。合法APP应使用代码签名证书签名软件程序,签名后的软件,可展示软件开发者的真实身份,同时证明软件在传输过程中没有被非法篡改或植入病毒木马,用户可通过证书,判断软件来源的真实性及软件程序的完整性。

3、企业应为员工通讯邮箱部署电子邮件证书,为保护客户的利益,维护客户数据安全。邮件用户使用GDCA邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。

声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代

上一篇:

下一篇:

相关新闻

 

领取优惠
免费预约

申请试用

提交成功!

咨询客服