BTC
4050.8
ETH
138.28
BCH
159.09
LTC
60.287
EOS
3.6785
REQ
0.0270
XMR
53.704
XRP
0.3147
https://fairplay.io
obmencrypto.com
hashflare.io
bestchange.ru
https://yobitex.net/

На торговой платформе Dx.Exchange выявлен ряд серьезных уязвимостей

На торговой платформе Dx.Exchange выявлен ряд серьезных уязвимостей

На прошлой неделе была запущена торговая платформа Dx.Exchange, особенностью которой была заявлена возможность инвестирования криптовалют в акции таких технологических компаний как Apple, Tesla, Facebook и другие. Однако очень скоро был выявлен ряд серьезных уязвимостей. Об это сообщает Ars Technica, ссылаясь на анонимного трейдера, который зарегистрировал фиктивную запись на платформе и решил протестировать ее функциональность и уровень безопасности.

Проводив анализ безопасности Dx.Exchange он заметил, что когда его браузер отправлял запрос бирже, в нем он передавал длинную строку символов, которая также называется токеном аутентификации, и который должен быть зашифрован. Трейдер отметил, что для своих манипуляция использовал только инструменты разработчика, встроенные в браузер Google Chrome. Также он заметил, что помимо данных его аккаунта, в строке оставалось еще много других символов. Проведя не слишком сложные манипуляции, он расшифровал их. На его удивление это были токены аутентификации других пользователей, а также ссылки для восстановления паролей от их аккаунтов. Токены созданы на JSON Web Tokens, из-за чего у пользователей, которые обладают достаточными знаниями в данной области, появляется возможность использовать эту информацию в личных целях.

«Мне за полчаса удалось собрать около 100 токенов. Если у кого-то будет злой умысел, он сможет использовать такую возможность в корыстных целях», - пишет трейдер.

Также он отметил, что используя полученные токены аутентификации других пользователей ему удалось получить доступ к их счетам, если они не вышли из него и находятся онлайн. Изучив вопрос более детально, трейдер выяснил, что возможно сохранить доступ к аккаунту даже в том случае, если владелец уже вышел из него.

Что более интересно, анонимному трейдеру даже удалось получить данные токенов, которые принадлежат сотрудникам самой компании.

«Их почта содержит фрагмент @coins.exchange. Я практически уверен, что потратив на этот процесс целый день удалось бы получить и токены администрации. Я бы тогда мог делать все, что угодно», - также пишет он.

Представители Ars Technica смогли воспроизвести действия анонимного трейдера и также получили множество токенов аутентификации. Они связались с некоторыми случайными пользователями этих токенов и уточнили, проходили ли они регистрацию на Dx.Exchange. Один из них сказал, что делал это около часа назад.

Работники Ars Technica предупредили биржу о присутствующей уязвимости. Спустя сутки она ушла в оффлайн на технические работы.

Впоследствии представитель биржи опубликовал сообщение:

«После получения фидбека от Ars Technica мы сразу принялись за проведение соответствующей работы по устранению бага. Dx.Exchange произвела «мягкий запуск», после чего мы получили неожиданный позитивный отклик множества мировых СМИ. В связи с этим внимание к платформе и количество пользователей начало расти стремительными темпами, благодаря чему нам удалось выявить некоторые баги. Львиная их доля уже исправлена, а некоторые подробно изучаются. Мы уверены, что нам удастся исправить все недочеты и полностью запуститься в ближайшее время».

Дополнительно стоит отметить, что это не единственный выявленный баг, однако анонимный трейдер побоялся публиковать остальные свои наблюдения, так как опасается, что представители биржи будут ему мстить.

Тем не менее, описание багов биржи можно найти в сети, в том числе и на тематических ресурсах. Но вероятно после того, как эти события получили широкую огласку, руководство биржи приняло все необходимые меры для нейтрализации основных угроз.

Показать комментарии Обсудить на форуме

Подписывайтесь на новости и их анализ в нашем Telegram канале!

Калькулятор Bitcoin
Скорость, GH/s:
Сложность:
Курс BTC/USD:
Курс BTC/RUB:
в день в неделю в месяц
BTC
0.000041
0.000290
0.00124
USD
0.16553
1.1587
4.9658
RUB
10.556
73.891
316.67
Расширенный калькулятор
go.dx.exchange
rebit.live
Курсы криптовалют
Обновить
Статистика сети
Текущая сложность: 6068891541677
Следующая сложность: 6368595767900 (4.94%)
Блоков до пересчета: 160
Цена шары (PPS): 0.0000000000
Мощность сети (Th/s): 45588184.24
Блоков в сети: 568352
Блоков в час: 6.3
Блоков за последний час: 7
До 6.25 BTC/блок: 407.72 дней
(61648 блоков)
konvert.im
yobit.net
Лучше взять и изобрести завтрашний день, чем переживать о том, что вчерашний был так себе
Стив Джобс