Доверяй, но проверяй

Доверяй, но проверяй

У DX.Exchange, расположенной в Эстонии торговой платформы, которая намерена дать пользователям возможность торговать токенизированными акциями Apple, Facebook и Tesla, обнаружены серьезные уязвимости в системе безопасности.

Сайт биржи собирает конфиденциальную финансовую и юридическую информацию о пользователях. Как сообщает издание Ars Technica, потенциальный трейдер создал «условный аккаунт» чтобы проверить, насколько безопасна платформа DX.Exchange.

Трейдер отметил, что когда он посылал бирже запрос с помощью своего браузера, сообщение содержало «чрезвычайно длинную строку символов» (так называемый «идентификационный токен»). Токен является своего рода секретной парольной фразой, которую сайт требует перед тем, как дать пользователю доступ к его счету. Однако пользователь обнаружил, что DX.Exchange шлет на запрос ответ, содержащий «все виды посторонних данных».

После тщательного изучения этих данных выяснилось, что платформа делится «идентификационными токенами других пользователей и линками на изменения пароля».

Трейдер, который просил не называть его имя по соображениям безопасности, рассказал Ars Technica: «Я получил около 100 токенов за 30 минут. Если бы вы захотели использовать их в преступных целях, это было бы очень легко сделать».

Любой мог получить доступ к чужим аккаунтам

Токены, присланные серверами DX.Exchange, были отформатированы в соответствии с открытым стандартом веб-токенов JSON. Отметим, что трейдер указал, что можно получить доступ к полным именам и мейл-адресам пользователей DX.Exchange.

Чтобы проверить, как сайт DX.Exchange защищает информацию пользователей, трейдер включил инструменты разработчика в своем браузере Google Chrome. После чего оказалось, что любой, у кого есть токены других пользователей, может получить доступ к их аккаунтам. Даже если пользователь вышел из своего аккаунта, злоумышленник все равно может получить к нему доступ с помощью «интерфейса программирования сайта».

После того, как сотрудники Ars Technica сообщили команде DX.Exchange об уязвимости их системы безопасности, разработчики платформы смогли исправить положение. В официальном сообщении Ars говорится: «Баг был немедленно идентифицирован и исправлен».

Как мы уже сообщали, правительство Южной Кореи провело проверку безопасности криптовалютных бирж. Только семь из них прошли все 85 контрольных пунктов. Министерство науки и информационных технологий Южной Кореи объявило результаты инспекции в четверг, сообщает Bitcoin.com. Четырнадцать ранее проверенных бирж не улучшили свои результаты, а семнадцать новых бирж не соответствуют стандартам безопасности.

Не забудьте подписаться на обновления сайта «MyCrypter» в удобной для вас соцсети и получать первыми новости мира Крипто.

Смотрите также