Dx.Exchange, инновационная торговая платформа, запущенная на этой неделе, получила широкую поддержку криптосообщества и была встречена очень позитивно всей криптоиндустрией. Она должна была предоставить пользователям новую концепцию торговой онлайн-платформы, на которой можно купить как оцифрованные акции компаний, так и криптовалюты. Но, уже сегодня у нее возникли проблемы с безопасностью.
Трейдер проверявший систему безопасности торговой платформы наткнулся на ряд проблем с защищенностью проекта. Целые массивы важных юридических и финансовых данных могут оказаться в руках злоумышленников.
Источник, пожелавший остаться анонимным, рассказал новостному порталу Ars Technica о том, что он создал фиктивную учетную запись для проверки платформы на безопасность. После этого, получив доступ к сайту через режим инструменты разработчика, он обнаружил, что запрос посланный его интернет-браузером содержит информацию о аутентифицированном токене и данные пользователя для доступа к учетной записи.
Кроме этого, доступная информация в этом режиме также содержала ссылки для сброса пароля других клиентов сервиса, через доступ к их токенам.
Сами токены были отформатированы с использованием открытого стандарта, называемого JSON Web Tokens, доступ к которому могут легко получить злоумышленники, имеющие достаточный уровень навыков взлома. В таком случае у них бы оказались адреса электронной почты и ФИО клиентов сервиса.
Таким образом трейдер получил данные 100 пользователей сервиса за 30 минут. Он также мог получить доступ и к самой учетной записи, при условии, что клиент еще не вышел из системы. А в дальнейшем хакеры могут легко получить доступ к самой важной части аккаунта пользователя — его счетам.
В конце своего исследования анонимный трейдер даже смог получить доступ к токенам самых сотрудников платформы! Негативные последствия получения хакерами доступа к административным аккаунтам биржи трудно даже представить.
Ars Technica связались с пользователями из полученного трейдером списка и получили подтверждение этих данных. Клиент действительно был зарегистрирован на платформе, причем всего 1 час назад.
Dx.Exchange были оперативно оповещены о имеющихся у них дырах в безопасности и уже работают над исправлениями этих уязвимостей.
Dx.Exchange запускает торговую платформу с токенизированными акциями
Nasdaq планирует в начале 2019 года запустить фьючерсы на Биткоин
Представитель SEC: одобрение Bitcoin-ETF может занять и дни, и годы
Комментариев нет:
Отправка комментария