10.1.19

Dx.Exchange имеет серьезные недостатки безопасности, которые могут быть легко криминализированы


Интернет-трейдер, проверяющий гигиену безопасности платформы, столкнулся с рядом проблем безопасности и сказал, что обмен может быть «криминализирован очень легко».

Биржа была запущена 7 января и позиционировалась как ликвидирующая разрыв между криптовалютами и реальными акциями. Вы можете приобрести не только оцифрованные версии акций Apple, Facebook и Apple, но и некоторые из самых популярных криптовалют.

Несмотря на то, что биржа получила несколько положительных отзывов от крупных новостных агентств, в настоящее время ситуация изменилась к худшей, поскольку появляются сообщения о том, что у Dx.Exchange есть некоторые серьезные проблемы с безопасностью.

Оценка сайта ставит проблемы безопасности
Он-лайн трейдер, чья личность остается секретной по юридическим причинам, провел некоторые проверки на недавно запущенной платформе Dx.Exchnage и обнаружил, что на сайте просочились некоторые важные юридические и финансовые данные.

Анонимный трейдер, который передал эту информацию Ars Technica, создал фиктивную учетную запись, чтобы проверить надежность платформы и ее безопасность. Вскоре после включения инструмента разработчика в браузере Google Chrome для дальнейшего изучения он обнаружил некоторые шокирующие подробности. Трейдер обнаружил, что запрос, который он отправил из своего браузера в Dx.Exchange, содержал информацию об аутентифицированном токене и данные пользователя для доступа к учетной записи.

Предположительно, анонимный трейдер сказал, что информация в браузере содержала также ссылки для сброса пароля из токенов других пользователей. Токены отформатированы с использованием открытого стандарта, называемого JSON Web Tokens, который оставляет его открытым для тех, кто обладает достаточными навыками, которые могут легко получить адреса электронной почты и полные имена владельцев токена.

У меня есть около 100 собранных токенов за 30 минут. Если бы вы хотели криминализировать это, это было бы очень легко.

В основном трейдер может получить доступ к любой уязвимой учетной записи, если пользователи еще не вышли из системы с момента утечки информации о токене. После дальнейшего изучения анонимный трейдер также может сохранить доступ к счетам даже после того, как они вышли из системы.

Еще больше проблем с Dx.Exchange
Хотя это открытие уже было достаточно плохим, анонимный трейдер обнаружил еще больше проблем безопасности с платформой Dx.Exchange. Утечка поставила под угрозу всю систему, так как данные токенов, принадлежащие сотрудникам компании, также были доступны.

Можете ли вы представить себе потенциальную бойню, если хакерам удалось проникнуть в административные учетные записи сотрудников? Анонимный торговец сказал:

По адресу электронной почты аккаунта видно, что это @ coins.exchange. У меня есть достаточно уверенности, что я могу сделать это за день, получить административный токен и получить все.

Сотрудник Ars Technica подтвердил, что биржа отвечает множеством токенов аутентификации. Он связался с несколькими пользователями из полученного списка и спросил их, присоединились ли они к Dx.Exchange. Один из пользователей подтвердил, что подписался на обмен всего за час до этого.

Затем трейдер, как утверждается, проинформировал Dx.Exchange о проблемах, которые в течение 24 часов действовали, планируя обновление технического обслуживания, чтобы «выполнить несколько исправлений ошибок и обновлений».

Хотя проблемы безопасности с Dx.Exchange могут просто вызывать проблемы во время их «мягкого запуска», важно, чтобы пользователи биржи проявляли осторожность. Первоначальная публикация в финансовых СМИ казалась отличной вещью для биржи, но теперь может стать пассивом, поскольку им необходимо применить некоторые ограничения ущерба.

Комментариев нет:

Отправить комментарий

Комментарии