传奇黑客CorbenLeo查出KuCoin个资外泄!但白帽奖金仅5千美元
这篇文章主要介绍了传奇黑客Corben Leo发现了KuCoin交易所的个人资料泄露漏洞,但他只获得了5千美元的白帽奖金。许多科技公司都会向全球的白帽黑客提出悬赏,希望他们为自家产品进行渗透测试,以修复漏洞并提升产品的完善程度。这种与外界技术人员和工程师的互动形成了业界的良性循环。
加密产业内也存在类似的情况,许多交易所、公链项目和链上协议都提出高额奖金作为漏洞悬赏。然而,知名白帽黑客Corben Leo在18日公开了他之前发现的KuCoin交易所的个人资料泄露漏洞。原本最高奖金为100万美元,但Corben只收到了5,000美元的奖金,他不禁抱怨道:“是不是少了一个零?”
23岁的Coben Leo曾为Google、Microsoft、Apple、Yahoo、美国国防部、ASUS、Nike等知名公司发现产品漏洞。作为一名白帽黑客,他对区块链和加密产业的安全问题也非常关注。
根据Coben Leo的描述,他在3月底发现KuCoin交易所在Web3漏洞悬赏平台HackenProof发布了最高100万美元的奖金。在与HackenProof确认后,Coben Leo决定测试KuCoin是否存在漏洞。
注册KuCoin后,Coben利用安全测试工具Burp Suite开始分析KuCoin的http请求,意外发现KuCoin所使用的云端客服服务Zendesk存在权限漏洞。这使得他能够在没有管理员权限的情况下,利用KuCoin作为代理,获取API权限并访问KuCoin的客服内容(工单),甚至获取每个使用客服服务的用户的完整个人资料,包括IP地址和账号信息,共计超过27万条。
关于奖金的争议,Coben Leo在4月18日向KuCoin报告了这个漏洞,而KuCoin在23日回复他说:“嗨先生,这个问题已经修复。在我们团队讨论后,结果如下:信息泄露的影响范围是部分用户的姓名和电子邮件信息(并非每个人都使用Zendesk,所以泄露数量有限)。因此,这个漏洞评级并不严重,奖金细节如下:信息泄露奖金2000美元,Zendesk API未经授权连接奖金3000美元,总奖金为5000美元。”
Coben Leo在文章中抱怨道:“我觉得他们少了一个零…”
在向KuCoin提出抗议后,Coben Leo并未得到回复。与HackenProof平台展开调解后,他也未得到回应。Coben提到,这个漏洞并不会影响KuCoin的金融功能,因为它无法接触到钱包。然而,他对这个“悬赏计划”非常不满,在文章结尾狠狠地批评了KuCoin和HackenProof:“如果你想黑HackenProof,千万别这么做,因为我也不认为KuCoin是一个交易所。”