传奇黑客corben leo查出kucoin个资外泄!但白帽奖金仅5千美元 -凯发官网入口首页
ykqjz财经讯:不少科技公司会对外提出悬赏,希望世界各地的白帽黑客(拥有高道德的黑客)为自家产品做渗透测试,以此修弥漏洞来让产品更加完善,这类和外界离散的技术人员、工程师的互动,也形成业界的良性循环。
而加密产业内也不乏这种例子,许多交易所、公链项目、链上协议都提出过高额奖金作为漏洞悬赏;但知名白帽黑客corben leo在18日公开了他先前找出kucoin交易所的个资外泄漏洞,原本最高悬赏100万美元的奖金,corben收到的奖金仅为5,000美元,他不禁抱怨「是漏掉一个零吗?」
corben leo查出kucoin个资外泄
现年23岁的coben leo曾替google、microsoft、apple、yahoo、美国国防部、asus、nike等知名公司找出产品漏洞,身为白帽黑客的他,同时也对区块链与加密产业安全问题相当关注。
根据coben leo的文章描述,在3月底,他发现kucoin交易所在web3漏洞悬赏平台hackenproof发布最高额100万美元的奖金,在与hackenproof确认后,coben leo决定测试kucoin是否有漏洞。
在注册kucoin后,coben利用安全测试工具burp suite开始分析kucoin的http request,意外发现kucoin所使用的云端客服服务zendesk存在权限漏洞,让他能以没有管理员权限的情况下,利用kucoin当作代理,取得api权限调阅kucoin的客服内容(ticket),甚至是每个利用客服开票的用户完整个资,包括ip、账号资讯,数量超过27万笔。
奖金起争议
在4月18日,coben leo向kucoin通知了这个漏洞,23日,kucoin向他回应:嗨先生,这个问题已经被修复,在我们团队讨论后,结果如下,信息外泄的影响层面:部分用户的姓名与email信息被外泄(不是每个人都使用zendesk,所以外泄数量有限)。所以这个漏洞评比未到严重等级,奖金细节为:信息外泄奖金2000美元、zendesk api未授权连线奖金3000美元,总奖金5000美元。
coben leo在文章内不禁抱怨「我觉得他们少了一个零…」
在与kucoin提出抗议后,coben leo并未得到回复,与hackenproof平台展开调解后,也未得到回应。coben提到这个漏洞因为不能触及钱包,并不会影响kucoin的金融功能。但对这个「悬赏计划」相当不满的他,在文末狠狠酸了kucoin和hackenproof一顿:如果你想去黑hackenproof,千万不要,因为我也不认为kucoin是间交易所。(意指他不认为hackenproof是个黑客平台)