13 дней назад

Торговая платформа Dx.Exchange имеет серьезные проблемы с безопасностью

Торговая платформа Dx.Exchange имеет серьезные проблемы с безопасностью


Dx.Exchange, инновационная торговая платформа, запущенная на этой неделе, получила широкую поддержку криптосообщества и была встречена очень позитивно всей криптоиндустрией. Она должна была предоставить пользователям новую концепцию торговой онлайн-платформы, на которой можно купить как оцифрованные акции компаний, так и криптовалюты. Но, уже сегодня у нее возникли проблемы с безопасностью.

Трейдер проверявший систему безопасности торговой платформы наткнулся на ряд проблем с защищенностью проекта. Целые массивы важных юридических и финансовых данных могут оказаться в руках злоумышленников.

Источник, пожелавший остаться анонимным, рассказал новостному порталу Ars Technica о том, что он создал фиктивную учетную запись для проверки платформы на безопасность. После этого, получив доступ к сайту через режим инструменты разработчика, он обнаружил, что запрос посланный его интернет-браузером содержит информацию о аутентифицированном токене и данные пользователя для доступа к учетной записи.

Кроме этого, доступная информация в этом режиме также содержала ссылки для сброса пароля других клиентов сервиса, через доступ к их токенам.

Сами токены были отформатированы с использованием открытого стандарта, называемого JSON Web Tokens, доступ к которому могут легко получить злоумышленники, имеющие достаточный уровень навыков взлома. В таком случае у них бы оказались адреса электронной почты и ФИО клиентов сервиса.

Таким образом трейдер получил данные 100 пользователей сервиса за 30 минут. Он также мог получить доступ и к самой учетной записи, при условии, что клиент еще не вышел из системы. А в дальнейшем хакеры могут легко получить доступ к самой важной части аккаунта пользователя — его счетам.

В конце своего исследования анонимный трейдер даже смог получить доступ к токенам самых сотрудников платформы! Негативные последствия получения хакерами доступа к административным аккаунтам биржи трудно даже представить.

Ars Technica связались с пользователями из полученного трейдером списка и получили подтверждение этих данных. Клиент действительно был зарегистрирован на платформе, причем всего 1 час назад.

Мы запланировали на сегодня в 11:00 (временная зона Эстонии) обновление нашей платформы и ее функционала, а также внести ряд исправлений системы безопасности и обновить ее. Платформа вернется к своей работе спустя несколько минут. Благодарим вас за терпение.

Dx.Exchange были оперативно оповещены о имеющихся у них дырах в безопасности и уже работают над исправлениями этих уязвимостей.

Читайте также:

Dx.Exchange запускает торговую платформу с токенизированными акциями

Nasdaq планирует в начале 2019 года запустить фьючерсы на Биткоин

Представитель SEC: одобрение Bitcoin-ETF может занять и дни, и годы