Эстонская криптовалюная и фондовая биржа DX.Exchange, по сообщениям, исправила критическую уязвимость, которая пропускала конфиденциальные пользовательские данные.
Сообщение о утечке безопасности появилось 9 января 2019 года со ссылкой на анонимного трейдера, который провел анализ безопасности DX.Exchange.
Согласно полученным данным, трейдер, пожелавший остаться анонимным из-за правовых проблем, заметил, что биржа отправляет конфиденциальные данные других пользователей в свой браузер. Изучив данные, трейдер, как сообщается, обнаружил, что данные содержат токены аутентификации других пользователей и ссылки для сброса пароля:
Я смог получить около 100 токенов аутентификации за 30 минут, если бы вы хотели использовать это в личных целях, это было бы очень легко
Как сообщается, токены аутентификации были отформатированы в стандарте веб-токенов JSON и могли быть легко расшифрованы с использованием онлайн-инструментов, получая полные имена и адреса электронной почты пользователей биржи.
Критическая уязвимость крипто-биржи DX.Exchange
Трейдер объяснил, что токены могут предоставлять доступ к их связанным учетным записям, если пользователь не вышел из системы вручную после утечки токена.
Также сообщается, что трейдер нашел способ навсегда заблокировать учетную запись, используя программный интерфейс платформы, который предоставит им доступ даже после выхода пользователя из системы.
Кроме того, некоторые данные для входа в систему, просочившиеся из платформы, принадлежат сотрудникам сайта.
В случае, если такой токен предоставит несанкционированный доступ к учетной записи с правами администратора, хакер сможет загрузить целые базы данных, заполнить сайт вредоносным ПО и, возможно, даже перевести средства из учетных записей пользователей
По сообщениям, независимые источники также проверили и подтвердила наличие уязвимостей, обнаруженных трейдером, получив то, что было описано как большое количество токенов аутентификации, через общедоступный программный интерфейс.
На данный момент DX.Exchange, устранила такую утечку. Однако компания отказалась комментировать свои намерения предупредить пользователей об исправленной уязвимости и полностью сбросить пароли трейдеров.