STUDIUM PRZYPADKU // USŁUGI FINANSOWE

Giełda kryptowalutowa — Ocena zewnętrznej postawy bezpieczeństwa

Rekonwencja pasywna wykryła istotne wycieki konfiguracji, wystawione poświadczenia API podmiotów trzecich i pełny mapę infrastruktury wewnętrznej – wszystko z publicznie dostępnych źródeł.

Sektor: Kryptowaluta / Usługi finansoweZakres: Zewnętrzna PostawaMetoda: Tylko pasywna

520+

Znalezione poddomeny

Ujawnione klucze API

Wewnętrzne kody

8.2

Krytyczny wynik CVSS

Streszczenie wykonywalne

Oceniano bezpieczeństwo zewnętrzne dużego międzynarodowego giełdy kryptowalut z usługami na poziomie instytucjonalnym i operacjami przechowywania pod nadzorem, wykorzystując wyłącznie pasywną rozpoznawczość. Nie przeprowadzono uwierzytelnienia, wykorzystania luk ani testowania inwazyjnego.

Ocena wykazała publicznie dostępny plik konfiguracyjny zawierający 14 kluczy API i poświadczeń od strony trzeciej dla usług analitycznych, wykrywania oszustw oraz infrastruktury blockchain. Analiza przejrzystości certyfikatów ujawniła 520+ subdomen ujawniających wewnętrzne kody projektów, struktury zespołów, środowiska wstępnego oraz integracje z partnerami bankowymi. Znaleziono wewnętrzny punkt końcowy API odpowiadający na zapytania zewnętrzne wiadomościami z błędami, potwierdzając jego istnienie i status operacyjny.

Profil Klienta

Przemysł: Gielda kryptowalut z usługami opiekuńczymi i instytucjonalnymi. Zakres: Globalna platforma lidera rynku, zarejestrowana i regulowana w wielu jurysdykcjach. Powód: Proaktywna zewnętrzna ocena bezpieczeństwa w ramach ciągłego audytu postawy bezpieczeństwa.

Wyzwanie

Platforma utrzymywała silny program bezpieczeństwa z publicznym programem nagród za błędy, odporne bezpieczeństwo poczty e-mail (DMARC reject), poprawnie skonfigurowany HSTS oraz kompleksowe zasady uprawnień. Pytanie brzmiało: co widzi przeciwnik z zewnątrz bez dotknięcia żadnego systemu?

Podejście

Używając metodologii pasywnego zarządzania inteligencją ChimeraScope, ocena skupiła się na trzech wektorach zbierania danych:

Analiza publicznych punktów końcowych — badanie odpowiedzi HTTP, nagłówków i plików publicznie udostępnianych w całym portfolio domen obiektu analizy. Korelacja transparentności certyfikatów — analiza rejestrów wystawiania certyfikatów SSL w celu odwzorowania topologii infrastruktury. Analiza rekordów DNS — wyodrębnianie integracji usług i rekordów weryfikacyjnych z publicznych rekordów DNS.

Kluczowa zasada: Każdy wynik w tej ocenie został uzyskany poprzez obserwację danych publicznie dostępnych. Nie przeprowadzono żadnej autoryzacji, nie wykorzystano żadnych luk w zabezpieczeniach, a także nie przeprowadzono aktywnego skanowania.

Kluczowe wyniki

Wynik	Skala zagrożenia	Skutek
Publiczny plik konfiguracyjny ujawniający 14 kluczy API, w tym RPC blockchain, wykrywanie oszustw i poświadczenia analityczne	KRYTYCZNY (8,2)	Złamanie poświadczeń, inflacja kosztów, rozpoznawanie systemu wykrywania oszustw
Wewnętrzny punkt końcowy API odpowiadający na żądania zewnętrzne wiadomościami błędów zorganizowanymi	ŚREDNI (5,3)	Potwierdzenie wewnętrznej infrastruktury, potencjalne wyliczanie punktów końcowych
520+ poddomen ujawniających wewnętrzne kody projektów, struktury zespołów i topologię środowiska	ŚREDNI (5,3)	Umożliwienie ataków celowych, włączenie inżynierii społecznej
30+ rekordów DNS TXT ujawniających kompletny stos narzędzi trzecich, w tym platformy AI i zarządzanie urządzeniami	INFORMACYJNY	Inteligencja inżynierii społecznej, materiały do pretekstowania
Brak Content-Security-Policy na głównych domenach produkcyjnych	NISKI	Zwiększone potencjalne wykorzystanie XSS

Wyodrębniono inteligencję infrastruktury

W ramach samej analizy certyfikatów przejrzystości ocena odwzorowała:

4 wewnętrzne kody projektów wykorzystywane w środowiskach produkcyjnych, UAT i testowych. 120+ poddomen preprodukcji ujawniających dedykowane środowiska zespołów dla każdej funkcji (konsument, finansowanie, bezpieczeństwo, handel, mobilność, marketing i więcej — każdy z numerowanymi instancjami). Integracje z partnerami bankowymi widoczne w wzorcach nazewnictwa poddomen. Związki z dostawcami KYC identyfikowalne poprzez dedykowane poddomeny integracji. Pełna topologia środowiska — środowiska produkcyjne, testowe, UAT i rozwijane strukturalnie odwzorowane.

Pozytywne obserwacje bezpieczeństwa

Ocena również odnotowała silne praktyki bezpieczeństwa już wdrożone: DMARC z zasadą odrzucania i raportowaniem forenzyka, HSTS z wstępnie załadowanym preloaderem dla wszystkich poddomen, zaawansowana polityka uprawnień ograniczająca 18 funkcji przeglądarki, poprawnie skonfigurowane atrybuty bezpieczeństwa ciasteczek oraz dobrze utrzymany security.txt z kluczem PGP i programem nagród za błędy. Krytyczna infrastruktura bankowa zwracała puste odpowiedzi na zapytania zewnętrzne, co wskazuje na odpowiednie kontrole dostępu.

Wynik

Znalezione zagrożenia zostały zebrane w strukturalny raport bezpieczeństwa z oceną CVSS i przesłane przez oficjalny kanał odpowiedzialnego ujawniania należący do giełdy. Krytyczne ujawnienie konfiguracji zostało priorytetyzowane do natychmiastowego usunięcia, w tym rotację poświadczeń dla wszystkich ujawnionych kluczy API oraz ograniczenie dostępu do dotkniętego punktu końcowego.

Uwaga o metodologii

Ta ocena została przeprowadzona z wykorzystaniem metodologii pasywnej inteligencji CHIMERASCOPE. Wszystkie dane zebrane zostały poprzez: analizę nagłówków i odpowiedzi HTTP, wyliczanie rekordów DNS za pomocą publicznych API, analizę logów Transparentności Certyfikatów, obserwację publicznych punktów końcowych oraz pasywne odciskanie palców usług. W żadnym etapie nie przeprowadzono aktywnego skanowania, testowania poświadczeń, ataków siłowych ani nieautoryzowanego dostępu.

Czy martwi Cię zewnętrzna ekspozycja?

Zamów bezpłatną ocenę postawy dla Twojej organizacji.