频道澳门葡京手机版网址
登录注册
澳门葡京手机版网址 > www.88807.com > 安全www.88807.com > 正文

Blockchain.info服务被曝严重安全漏洞,一个链接就能窃取用户比特币

2017-11-14 15:45:20         来源:澳门葡京手机版网址_澳门新莆京娱乐_www.88807.com - 点此进入   编辑:小邱
收藏   我要投稿

据国外安全研究人员报告称,该研究人员在Blockchain.info服务中发现了一个严重的安全漏洞,该漏洞能允许攻击者以微不足道的用户交互方式来窃取任何与之交互过的用户的比特币钱包备份文件。

Blockchain.info服务是一项为比特币加密货币钱包和别特别区块链数据查询的综合性技术服务,这项服务可以追溯到2011年8月,Blockchain.info可以提供最新的比特币交易信息、比特币区块链图表中开采区块和开发者统计资料资源等功能,可谓是比特币玩家十分重要的服务。

\

据悉,Blockchain.info的备份功能能够允许用户创建一个JSON文件,该文件为用户账户的备份内容,用户可以利用该备份下载或将其账户信息存储到GOOGLE云端硬盘存储。这个备份文件一旦遭到黑客窃取,那么攻击者就能轻易的在Blockchain.info服务中导入这名用户的账户信息,并且从账户中拿走所有资产。

所以用户想要将备份的JSON文件上传至GOOGLE云端硬盘或Dropbox中存储时,会被要求登入GOOGLE云端和Dropbox账户,一旦授权上传后Blockchain.info就会自动存储JSON文件至GOOGLE云端和Dropbox中,进行Gdrive身份验证时,服务会生成一个链接,但不包含任何CSRF令牌。而攻击者正是利用这一点进行窃取的。

首先攻击者在Blockchain.info中登录GOOGLE云端账户,然后获取上述不包含CSRF令牌链接。再将自己GOOGLE云端令牌添加到链接中发送给目标用户,一旦目标用户点击链接后,JSON文件就会自动存储到攻击者的GOOGLE云端硬盘当中从而使用户的比特币账户资产遭窃。

上一篇:小心诈骗!快递单上有这四个字一定要注意小心被骗
下一篇:苹果的Face ID被越南研究人员用面具就给破解了
相关文章
图文推荐

关于大家 | 联系大家 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 澳门葡京手机版网址_澳门新莆京娱乐_www.88807.com - 点此进入--致力于做实用的IT技术学习网站

XML 地图 | Sitemap 地图