kaiyun网页登陆入口

kaiyun官方网站

加密货币交游平台ONUS遇到Log4j挫折，隔断支付500万赎金。

越南最大的加密货币交游平台ONUS开动有破绽的Log4j版块的支付系统遇到集会挫折。挫折者条件ONUS支付500万好意思元的赎金，并挟制公布用户数据。

事件空洞

12月9日，Log4Shell (CVE-2021-44228)破绽的PoC 破绽诓骗在GitHub公开。随后出现了多数针对有破绽的作事器的大规模扫描行动。12月11日-13日，挫折者见效诓骗ONUS平台Cyclos作事器上的Log4Shell破绽，并见效植入了后门软件。

Cyclos于12月13日告知ONUS 诞生系统，然则太迟了。固然ONUS仍是诞生了Cyclos实例中的安全破绽，然则破绽窗口期使得挫折者见效窃取了明锐数据库的数据。被窃的数据库中有近200万的用户数据，包括KYC (Know Your Customer)数据、哈希的密码等。

事实上，Log4Shell破绽存在于一个仅用于编程策划是沙箱作事器，但由于系统建树要领使得允许进一步访谒明锐数据存储位置的删除数据。

200万数据败露

随后，挫折者条件ONUS被条件支付500万赎金，不然会公开窃取的数据。12月25日，由于ONUS未支付足额赎金，挫折者在暗网数据交游商场出售客户数据。

近200万ONUS客户数据被出售

挫折者称有包含客户个东谈主数据和哈希后的密码的395个ONUS数据库表。样本数据中包含客户身份证图像、护照、以及KYC流程中客户提交的视频片断。

事件分析

集会安全公司 CyStack对该事件进行了分析发现挫折流程不单是诓骗了一个Log4j破绽。Log4j破绽诓骗只是为挫折者提供了一个进口，更大的问题是ONUS的Amazon S3 buckets失实建树导致挫折者不错访谒，最终导致了明锐数据的败露。挫折者获得的客户数据包括：

姓名 邮箱和手机号 地址 KYC信息 加密的密码 交游历史 其他加密的信息 补丁

现在，针对Java 8版块的Log4j 2.17.1版块仍是发布，提倡用户尽快更新到最新版块。此外，针对Java 7的2.12.4版块和针对Java 6的2.3.2版块也会在近期发布，提倡用户捏续模式。

本文翻译自：https://www.bleepingcomputer.com/news/security/fintech-firm-hit-by-log4j-hack-refuses-to-pay-5-million-ransom/淌若转载，请注明原文地址。

 kaiyun官方网站