*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

前言

从今年9月17日开始，就有多个白帽在BUGX.IO平台上提交了关于10086coin交易所的漏洞，其中不乏严重漏洞，能够造成大量的敏感信息泄露漏洞，用户需谨慎交易！

事件

10086coin是一家移动区块链数字资产交易平台。交易平台自2016年11月开始筹备，在2018年7.28日项目正式上线。该交易平台支持BTC、ETH、USDT和C86等主流交易货币。平台24小时成交额：¥630,165,052（交易数据来源非小号）。

BUGX.IO平台从九月中旬开始陆续收到白帽提交的10086coin交易平台漏洞，审核人员在确认漏洞后及时通过邮件与10086coin交易平台有关人员联系，厂商至今未回复，希望厂商尽快进行漏洞认领和修复漏洞，保护好10086coin交易平台交易信息以及平台用户的个人敏感信息。在此也希望各个交易平台和区块链相关的网站，提高安全意识，若收到相关漏洞邮件后及时联系，尽快修复相关漏洞。

漏洞分析

2.1、严重的敏感信息泄露

根据白帽子反馈的漏洞情况显示，在10086coin的某处连接处泄露处xml文件目录树，在此连接处泄露出大量的用户信息，有用户敏感信息（邮箱、手机号、姓名、身份证号等信息），平台用户交易信息，还有大量用户手持身份证照片。

1、泄露信息之excel表格

通过正常访问可以泄露的网页，我们可以发现这个泄露信息的页面共泄露出来346个excel表格信息和表格访问路径。

简单访问了一下这些表格，发现这些表格里面竟然有用户敏感信息。这张表里有几千个用户信息，有用户姓名、手机号、身份证号、邮箱等敏感信息。

而且有的表格是网站的交易信息，能看到用户交易时间、交易量、交易币种等信息。通过表格上的时间可以看到这个网站近期进行的交易。

2、信息泄露之身份证图片

在这个页面的下方还有一些身份证图片的链接，简单统计下，大概有524张。

大部分图片链接是身份证信息的敏感信息，同时也存在大量清晰的手持身份证图片。

在这些信息泄露出来用户的身份证图片加上excel表格泄露的用户敏感信息，这样10086COIN交易平台把用户很全面的个人信息全都泄露了出来，对用户的损害极大。

3、信息泄露之文档

平台泄露出来的不光有用户信息和交易信息，还有网站的一些文档。比如网站的规则和一些合同等信息等。

2.2、设计缺陷

平台白帽子不仅发现此平台的信息泄露漏洞，也发现平台上的其他漏洞。如设计缺陷。在平台上在审核的一些证件号可填写不正确的证件号，可以反复大量提交一些不正确的身份证号操作，恶意篡改个人信息。

结论

安全无小事，区块链行业正在起步和发展，安全问题频繁发生，我们无法预测以后可能会发生的问题，但是在问题暴露出来，应该引起重视，保护好平台和用户安全。

*本文作者：BUGX，转载请注明来自FreeBuf.COM