白帽駭客常視「漏洞懸賞」為一種挑戰,知名駭客 Corben Leo 近日發文抱怨,他找出 KuCoin 重大用戶個資外洩漏洞,但原本開出懸賞最高 100 萬美元的 KuCoin 最終僅願發放 5,000 美元,讓他感到被羞辱。
(前情提要:白帽駭客心動!LayerZero和Immunefi掛出「1500萬美元」生態漏洞賞金 )
(背景補充:SUI 遭爆3月秘密修復「十億美元安全漏洞」,可讓駭客閃電貸攻擊.. )
不少科技公司會對外提出懸賞,希望世界各地的白帽駭客(擁有高道德的駭客)為自家產品做滲透測試,以此修彌漏洞來讓產品更加完善,這類和外界離散的技術人員、工程師的互動,也形成業界的良性循環。
而加密產業內也不乏這種例子,許多交易所、公鏈專案、鏈上協議都提出過高額獎金作為漏洞懸賞;但知名白帽駭客 Corben Leo 在 18 日公開了他先前找出 KuCoin 交易所的個資外洩漏洞,原本最高懸賞 100 萬美元的獎金,Corben 收到的獎金僅為 5,000 美元,他不禁抱怨「是漏掉一個零嗎?」
Corben Leo 查出 KuCoin 個資外洩
現年 23 歲的 Coben Leo 曾替 Google、Microsoft、Apple、Yahoo、美國國防部、ASUS、Nike 等知名公司找出產品漏洞,身為白帽駭客的他,同時也對區塊鏈與加密產業安全問題相當關注。
根據 Coben Leo 的網誌文章描述,在 3 月底,他發現 KuCoin 交易所在 Web3 漏洞懸賞平台 HackenProof 發布最高額 100 萬美元的獎金,在與 HackenProof 確認後,Coben Leo 決定測試 KuCoin 是否有漏洞。
在註冊 Kucoin 後,Coben 利用安全測試工具 Burp Suite 開始分析 Kucoin 的 http request,意外發現 KuCoin 所使用的雲端客服服務 Zendesk 存在權限漏洞,讓他能以沒有管理員權限的情況下,利用 KuCoin 當作代理,取得 API 權限調閱 KuCoin 的客服票內容(ticket),甚至是每個利用客服開票的用戶完整個資,包括 IP、帳號資訊,數量超過 27 萬筆。
獎金起爭議
在 4 月 18 日,Coben Leo 向 KuCoin 通知了這個漏洞,23 日,KuCoin 向他回應:
嗨先生,這個問題已經被修復,在我們團隊討論後,結果如下,
資訊外洩的影響層面:部分用戶的姓名與email資訊被外洩(不是每個人都使用Zendesk,所以外洩數量有限)。
所以這個漏洞評比未到嚴重等級,獎金細節為:資訊外洩獎金 2000 美元、Zendesk API 未授權連線獎金 3000 美元,總獎金 5000 美元。
Coben Leo 在文章內不禁抱怨「我覺得他們少了一個零…」
在與 KuCoin 提出抗議後,Coben Leo 並未得到回覆,與 HackenProof 平台展開調解後,也未得到回應。Coben 提到這個漏洞因為不能觸及錢包,並不會影響 KuCoin 的金融功能。但對這個「懸賞計畫」相當不滿的他,在文末狠狠酸了 KuCoin 和 HackenProof 一頓:
如果你想去駭 HackenProof,千萬不要,因為我也不認為 KuCoin 是間交易所。(意指他不認為 HackenProof 是個駭客平台)
