越南加密貨幣交易平臺Onus雲端系統Log4j漏洞遭開採植入勒索軟體

越南主要加密貨幣交易平臺Onus的雲端系統遭駭客開採Log4j漏洞，可能被竊190萬筆用戶資料。

Onus於聖誕夜發出公告指出，安全廠商偵測到公司系統遭到網路攻擊，攻擊者是利用Onus系統一組函式庫集的一項漏洞、駭入公司開發用的沙箱伺服器，而由於組態問題，攻擊者利用伺服器上的資訊存取執行在AWS S3上的儲存系統，並竊走「一些」重要資料。Onus並以郵件通知Onus用戶。

遭竊取的資料包括姓名、電子郵件信箱與電話號碼、住家地址、客服資料、加密密碼、交易紀錄及其他加密資訊等。但該公司強調在Onus平臺上的客戶資產並不受影響。

Onus除了告知用戶正在修補漏洞及強化安全防護外，也呼籲用戶變更Onus應用程式的密碼。

Onus的資安合作夥伴CyStack則說明，攻擊者於12月11到13日之前，開採了Onus使用的PoS及交易軟體Cyclos伺服器上的Log4Shell，雖然Onus於隔日修補漏洞，但到了12月23日仍發現AWS S3上的系統遭到刪除。

Onus並未透露這次事件影響的用戶人數，不過媒體Bleeping Computer發現，隔天有超過190萬筆Onus資料被一個代號為vndcio的駭客（或組織），放上了網路地下論壇兜售。駭客宣稱已取得這家平臺近400個資料庫表格、用戶個資及加密密碼。報導指出，由於Onus拒絕支付500萬美金的贖款，致使駭客將資料放上網路。張貼的內容包括用戶身份識別資料的擷圖及用戶的臉部辨識相片。受影響用戶國籍遍及印度、印尼及越南。

這起攻擊是最新一起針對Log4j漏洞的安全事件。已經有各種企圖開採Log4j漏洞的活動發生，其中CVE-2021-44228及CVE-2021-45046遭到惡意開採。之前公佈的成功攻擊事件受害者，包括比利時國防部、VMware vCenter、以及由ISP代管的Minecraft線上遊戲平臺等。

 相關報導