У DX.Exchange, расположенной в Эстонии торговой платформы, которая намерена дать пользователям возможность торговать токенизированными акциями Apple, Facebook и Tesla, обнаружены серьезные уязвимости в системе безопасности.
Сайт биржи собирает конфиденциальную финансовую и юридическую информацию о пользователях. Как сообщает издание Ars Technica, потенциальный трейдер создал «условный аккаунт» чтобы проверить, насколько безопасна платформа DX.Exchange.
Трейдер отметил, что когда он посылал бирже запрос с помощью своего браузера, сообщение содержало «чрезвычайно длинную строку символов» (так называемый «идентификационный токен»). Токен является своего рода секретной парольной фразой, которую сайт требует перед тем, как дать пользователю доступ к его счету. Однако пользователь обнаружил, что DX.Exchange шлет на запрос ответ, содержащий «все виды посторонних данных».
После тщательного изучения этих данных выяснилось, что платформа делится «идентификационными токенами других пользователей и линками на изменения пароля».
Трейдер, который просил не называть его имя по соображениям безопасности, рассказал Ars Technica: «Я получил около 100 токенов за 30 минут. Если бы вы захотели использовать их в преступных целях, это было бы очень легко сделать».
Любой мог получить доступ к чужим аккаунтам
Токены, присланные серверами DX.Exchange, были отформатированы в соответствии с открытым стандартом веб-токенов JSON. Отметим, что трейдер указал, что можно получить доступ к полным именам и мейл-адресам пользователей DX.Exchange.
Чтобы проверить, как сайт DX.Exchange защищает информацию пользователей, трейдер включил инструменты разработчика в своем браузере Google Chrome. После чего оказалось, что любой, у кого есть токены других пользователей, может получить доступ к их аккаунтам. Даже если пользователь вышел из своего аккаунта, злоумышленник все равно может получить к нему доступ с помощью «интерфейса программирования сайта».
После того, как сотрудники Ars Technica сообщили команде DX.Exchange об уязвимости их системы безопасности, разработчики платформы смогли исправить положение. В официальном сообщении Ars говорится: «Баг был немедленно идентифицирован и исправлен».
Как мы уже сообщали, правительство Южной Кореи провело проверку безопасности криптовалютных бирж. Только семь из них прошли все 85 контрольных пунктов. Министерство науки и информационных технологий Южной Кореи объявило результаты инспекции в четверг, сообщает Bitcoin.com. Четырнадцать ранее проверенных бирж не улучшили свои результаты, а семнадцать новых бирж не соответствуют стандартам безопасности.
Не купил крипту по низу рынка?
Cайт МарафонБет предлагает бонус до 10,000руб. за первый депозит и шанс выиграть крупные суммы на ставках и в увлекательных играх!
iGaming бонусы от партнеров
Попробуй свои силы бесплатно и выигрывай криптовалюту в лучших рекомендованных казино! Наш сайт wheretospin.com предлагает не только лучшие обзоры казино, но и возможность испытать удачу в захватывающих играх.
Присоединяйся прямо сейчас и начни путь к финансовой свободе с WhereToSpin!
New Zealand Casinos WhereToSpin in New Zealand
Kuwait and Middle East Casinos WhereToSpin in Kuwait
South Africa CasinosWhereToSpin in South Africa