Из-за ошибки на бирже DX.Exchange произошла утечка клиентских данных

Из-за ошибки на бирже DX.Exchange произошла утечка клиентских данных

Эстонская криптовалютная биржа DX.Exchange уже исправила критическую уязвимость, которая пропускала конфиденциальные данные пользователей.

Сайт технологических новостей Ars Technica сообщил об утечке данных, ссылаясь на анонимного трейдера, который обнаружил проблему.

Трейдер, пожелавший остаться анонимным из-за правовых проблем, заметил, что биржа отправляет конфиденциальные данные других пользователей в свой браузер. Изучив данные, трейдер обнаружил, что данные содержат токены авторизации других пользователей и ссылки для сброса пароля.

Я собрал около 100 токенов авторизации за 30 минут, если бы кто-то хотел использовать это для осуществления незаконный операций, у него легко бы это получилось.

Токены авторизации были отформатированы в стандарте веб-токенов JSON и могли быть легко расшифрованы с использованием онлайн-инструментов, раскрывая полные имена и адреса электронной почты пользователей биржи. Трейдер объяснил, что токены могут предоставлять доступ к их учетным записям, если пользователь не вышел из системы вручную после утечки токена. 

Также трейдер нашел способ навсегда заблокировать учетную запись, используя программный интерфейс платформы, который предоставляет доступ даже после выхода пользователя из системы. Также он определил, что некоторые данные для входа в систему принадлежат сотрудникам сайта. 

В случае, если такой токен предоставит несанкционированный доступ к учетной записи с правами администратора, хакер сможет загрузить целые базы данных, заполнить сайт вредоносным ПО и, возможно, даже перевести средства из учетных записей пользователей.

Компания Ars Technica проверила и подтвердила наличие уязвимостей, обнаруженных трейдером, получив большое количество токенов авторизации через общедоступный программный интерфейс.

Ars Technica сообщила об этом бирже DX.Exchange, и, как заверяют представители биржи, утечка была устранена.

 Биржа DX.Exchange использует протокол обмена финансовой информацией биржи Nasdaq (FIX) и позволяет своим пользователям торговать на платформе токенами-ценными бумагами крупных компаний, включая Google, Facebook и Amazon.



По материалам cointelegraph.com

Читайте также

3082019-04-05

Binance приходит в Сингапур

Чанпенг Чжао, генеральный директор второй по величине крипто-биржи Binance, объявил, что в апреле биржа откроет филиал в Сингапуре.

Биржи
2682019-05-13

Доступ к Binance будет восстановлен завтра

Представители биржи Binance заявили о том, что они усилили систему безопасности платформы, и начиная с 14 мая, их пользователи снова смогут вносить и выводить средства.

Биржи, Обменники

Последние статьи из раздела Биржи

Свежее видео на канале

Выбор редакции

172262018-01-30

Bitcoin: пирамида или нет?

С января 2009 года, когда был сгенерирован первый генезиз-блок bitcoin-сети, прошло уже девять лет, но до сих пор всякого рода "эксперты" ломают копья в спорах: являются ли криптовалюты финансовой пирамидой или нет. Быстрый рост доходности bitcoin и прибыли тех, кто раньше стал участником этой системы, пугает схожестью с пирамидами 90-х.

Bitcoin
120762018-04-28

on-chain и off-chain управление: за и против

Чтобы понять важность управления блокчейном и дискуссии вокруг этого вопроса, сначала нужно определить что такое управление блокчейном, его роль и цели. Управление блокчейном в сфере криптовалют состоит из двух пунктов: правил протокола (кода) и экономических стимулов, на которых основана сеть.

Blockchain
87902018-07-28

Грузинская криптокухня. Выбираем блюда

Ни для кого не секрет тот факт, что Грузия является одной из самых лояльных стран постоветского пространства, где не только уютно, но и выгодно вести бизнес. Это стало возможным буквально за последние 10 лет благодаря колоссальным реформаторским усилиям сменявших друг друга руководителей страны, каждый из которых стремился сделать её лучше и богаче. Как именно обстоят дела здесь с криптовалютным бизнесом попытаемся разобраться в нашем сегодняшнем материале.

Право, Майнинг, Регуляторы
74902018-06-25

Поиск серых майнеров в недрах Chrome и Opera

Вы уже знаете как javascript-майнеры попадают на страницы интернет-ресурсов. Теперь попробуем разобраться как же выяснить какая именно из множества открытых вкладок использует Ваши ресурсы для добычи криптовалюты.

Безопасность
62602018-09-13

Три быка, которые могут спасти крипторынок

Несмотря на упадок криптовалютного рынка, долгожданное участие институциональных инвесторов в сделках с цифровыми активами уже не за горами. Такие известные фирмы, как Coinbase, Nasdaq и Bakkt уже вошли в мейнстрим, осталось только подождать, пока это сделает весь рынок цифровых активов.

Мнение
50812018-06-08

Принимаем оплату в bitcoin: Часть первая, теоретическая

Интернет полон статей о том, какое прекрасное будущее готовит нам blockchain, как это "стильно, модно и инновационно". Однако информации, как практически воспользоваться всем этим великолепием, крайне мало. Попробуем частично восполнить этот пробел.

Обучение