De Log4j-kwetsbaarheid is gebruikt bij een aanval op cryptoplatform Onus waarbij de persoonlijke gegevens van twee miljoen gebruikers werden gestolen. Dat laten Onus en securitybedrijf CyStack in een verklaring weten.

Onus is één van de grootste cryptoplatformen in Vietnam en werkt met betaalsoftware van een derde partij genaamd Cyclos. Deze software maakt gebruik van loggingsoftware Log4j en was zodoende ook kwetsbaar. Volgens CyStack maakte een aanvaller misbruik van de Log4j-kwetsbaarheid in de Cyclos-software nog voor de leverancier Onus en andere klanten kon waarschuwen.

Onus installeerde de beveiligingsupdate van Cyclos toen die beschikbaar kwam, maar op dat moment had de aanvaller al gegevens van twee miljoen gebruikers gestolen, stellen de onderzoekers. Het gaat om naam, e-mailadres, telefoonnummer, adresgegevens, KYC-informatie, versleutelde wachtwoorden, transactiegeschiedenis en "andere versleutelde informatie", aldus de uitleg van Onus. De aanvaller, die de gebruikersdata bij Onus claimt te hebben verwijderd, eiste vervolgens vijf miljoen dollar losgeld.

Via de Log4j-kwetsbaarheid kreeg de aanvaller toegang een server van Onus waarop AWS-inloggegevens stonden. Het cryptoplatform had de AWS access key volledige toegang gegeven, waardoor de aanvaller alle S3-buckets van Onus kon compromitteren en verwijderen. De server bevatte daarnaast een script dat periodiek een back-up van de Onus-database naar een S3-bucket maakte. S3 is de cloudopslagdienst van Amazon.

Het back-upscript bevatte de inloggegevens van de database, alsmede back-up SQL-bestanden. Zo kon de aanvaller toegang tot de Onus-database en gebruikersinformatie krijgen. Tevens installeerde de aanvallers een backdoor, aldus CyStack. Onus maakt excuses voor het datalek en noemt het een kans om de veiligheid van de eigen systemen verder te verbeteren en zo de veiligheid van gebruikers te garanderen. De gestolen gebruikersgegevens worden nu te koop aangeboden.