На прошлой неделе была запущена торговая платформа Dx.Exchange, особенностью которой была заявлена возможность инвестирования криптовалют в акции таких технологических компаний как Apple, Tesla, Facebook и другие. Однако очень скоро был выявлен ряд серьезных уязвимостей. Об это сообщает Ars Technica, ссылаясь на анонимного трейдера, который зарегистрировал фиктивную запись на платформе и решил протестировать ее функциональность и уровень безопасности.

Проводив анализ безопасности Dx.Exchange он заметил, что когда его браузер отправлял запрос бирже, в нем он передавал длинную строку символов, которая также называется токеном аутентификации, и который должен быть зашифрован. Трейдер отметил, что для своих манипуляция использовал только инструменты разработчика, встроенные в браузер Google Chrome. Также он заметил, что помимо данных его аккаунта, в строке оставалось еще много других символов. Проведя не слишком сложные манипуляции, он расшифровал их. На его удивление это были токены аутентификации других пользователей, а также ссылки для восстановления паролей от их аккаунтов. Токены созданы на JSON Web Tokens, из-за чего у пользователей, которые обладают достаточными знаниями в данной области, появляется возможность использовать эту информацию в личных целях.

«Мне за полчаса удалось собрать около 100 токенов. Если у кого-то будет злой умысел, он сможет использовать такую возможность в корыстных целях», - пишет трейдер.

Также он отметил, что используя полученные токены аутентификации других пользователей ему удалось получить доступ к их счетам, если они не вышли из него и находятся онлайн. Изучив вопрос более детально, трейдер выяснил, что возможно сохранить доступ к аккаунту даже в том случае, если владелец уже вышел из него.

Что более интересно, анонимному трейдеру даже удалось получить данные токенов, которые принадлежат сотрудникам самой компании.

«Их почта содержит фрагмент @coins.exchange. Я практически уверен, что потратив на этот процесс целый день удалось бы получить и токены администрации. Я бы тогда мог делать все, что угодно», - также пишет он.

Представители Ars Technica смогли воспроизвести действия анонимного трейдера и также получили множество токенов аутентификации. Они связались с некоторыми случайными пользователями этих токенов и уточнили, проходили ли они регистрацию на Dx.Exchange. Один из них сказал, что делал это около часа назад.

Работники Ars Technica предупредили биржу о присутствующей уязвимости. Спустя сутки она ушла в оффлайн на технические работы.

Впоследствии представитель биржи опубликовал сообщение:

«После получения фидбека от Ars Technica мы сразу принялись за проведение соответствующей работы по устранению бага. Dx.Exchange произвела «мягкий запуск», после чего мы получили неожиданный позитивный отклик множества мировых СМИ. В связи с этим внимание к платформе и количество пользователей начало расти стремительными темпами, благодаря чему нам удалось выявить некоторые баги. Львиная их доля уже исправлена, а некоторые подробно изучаются. Мы уверены, что нам удастся исправить все недочеты и полностью запуститься в ближайшее время».

Дополнительно стоит отметить, что это не единственный выявленный баг, однако анонимный трейдер побоялся публиковать остальные свои наблюдения, так как опасается, что представители биржи будут ему мстить.

Тем не менее, описание багов биржи можно найти в сети, в том числе и на тематических ресурсах. Но вероятно после того, как эти события получили широкую огласку, руководство биржи приняло все необходимые меры для нейтрализации основных угроз.