Размещено: 11-01-2019, 13:25. Категория: КриптоНовости

Из-за ошибки на бирже DX.Exchange произошла утечка клиентских данных


Эстонская криптовалютная биржа DX.Exchange уже исправила критическую уязвимость, которая пропускала конфиденциальные данные пользователей.

Сайт технологических новостей Ars Technica сообщил об утечке данных, ссылаясь на анонимного трейдера, который обнаружил проблему.

Трейдер, пожелавший остаться анонимным из-за правовых проблем, заметил, что биржа отправляет конфиденциальные данные других пользователей в свой браузер. Изучив данные, трейдер обнаружил, что данные содержат токены авторизации других пользователей и ссылки для сброса пароля.
Я собрал около 100 токенов авторизации за 30 минут, если бы кто-то хотел использовать это для осуществления незаконный операций, у него легко бы это получилось.
Токены авторизации были отформатированы в стандарте веб-токенов JSON и могли быть легко расшифрованы с использованием онлайн-инструментов, раскрывая полные имена и адреса электронной почты пользователей биржи. Трейдер объяснил, что токены могут предоставлять доступ к их учетным записям, если пользователь не вышел из системы вручную после утечки токена.

Также трейдер нашел способ навсегда заблокировать учетную запись, используя программный интерфейс платформы, который предоставляет доступ даже после выхода пользователя из системы. Также он определил, что некоторые данные для входа в систему принадлежат сотрудникам сайта.
В случае, если такой токен предоставит несанкционированный доступ к учетной записи с правами администратора, хакер сможет загрузить целые базы данных, заполнить сайт вредоносным ПО и, возможно, даже перевести средства из учетных записей пользователей.
Компания Ars Technica проверила и подтвердила наличие уязвимостей, обнаруженных трейдером, получив большое количество токенов авторизации через общедоступный программный интерфейс.

Ars Technica сообщила об этом бирже DX.Exchange, и, как заверяют представители биржи, утечка была устранена.

Биржа DX.Exchange использует протокол обмена финансовой информацией биржи Nasdaq (FIX) и позволяет своим пользователям торговать на платформе токенами-ценными бумагами крупных компаний, включая Google, Facebook и Amazon.
up