Биржа DX из Эстонии была вынуждена в срочном порядке устранять критическую уязвимость, которая могла в дальнейшем привести к массовой утечке персональных данных пользователей и, соответственно, к взлому аккаунтов и кошельков.
О проблеме рассказал один из участников торгов на DX.Exchange. Трейдер провел собственный анализ и написал о результатах на новостной ресурс Ars Technica. Выяснилось, что биржа пересылает конфиденциальную информацию с персональными данными на браузеры пользователей. Оказалось, что в каждом случае эта информация содержит токены аутентификации других участников площадки. В ней также находились ссылки, по которым сбрасывались пароли. Так, трейдер, написавший о проблеме, смог за полчаса собрать 100 токенов аутентификации.
Токены были отформатированы в стандарт JSON. Это, в свою очередь, позволяет успешно использовать автоматизированные онлайн-способы, чтобы быстро расшифровать логины (электронную почту) и пароли других пользователей биржи DX. Как трейдер объяснил в описании проблемы, с помощью таких токенов аутентификации можно легко получить доступы к аккаунтам других пользователей и даже заблокировать их насовсем.
На самом деле проблема оказалась еще более опасной, поскольку могла бы привести к несанкционированному доступу к целым базам данных и к выводу средств с кошельков пользователей. Однако ресурс Ars Technica опубликовал информацию о том, что проблем уже устранена разработчиками и кошельки участников биржи не пострадали.
DX.Exchange – фондовая биржа, на которой клиенты могут торговать токенизированными акциями мировых гигантов из листинга Nasdaq в соотношении 1:1.
