Володимир Опря
Минулого тижня була запущена торгова платформа Dx.Exchange, особливістю якої була заявлена можливість інвестування криптовалют в акції таких технологічних компаній як Apple, Tesla, Facebook та інші. Однак дуже скоро було виявлено ряд серйозних вразливостей. Про це повідомляє Ars Technica з посиланням на анонімного трейдера, який зареєстрував фіктивну запис на платформі і вирішив протестувати її функціональність і рівень безпеки.
Провівши аналіз безпеки Dx.Exchange він зауважив, що коли його браузер відправляв запит біржі, в ньому він передавав довгий рядок символів, яка також називається токеном аутентифікації, і який повинен бути зашифрований. Трейдер зазначив, що для своїх маніпуляція використовував тільки інструменти розробника, вбудовані в браузер Google Chrome. Також він зауважив, що крім даних його аккаунта, у рядку залишалося ще багато інших символів. Провівши не надто складні маніпуляції, він розшифрував їх. На його здивування це були токени аутентифікації інших користувачів, а також посилання для відновлення паролів від акаунтів. Токени створені на JSON Web Tokens, з-за чого у користувачів, які володіють достатніми знаннями у даній області, з’являється можливість використовувати цю інформацію в особистих цілях.
«Мені за півгодини вдалося зібрати близько 100 токенів. Якщо у когось буде злий умисел, він зможе використовувати таку можливість в корисливих цілях», – пише трейдер.
Також він зазначив, що використовуючи отримані токени аутентифікації інших користувачів йому вдалося отримати доступ до їх рахунками, якщо вони не вийшли з нього і перебувають онлайн. Вивчивши питання більш детально, трейдер з’ясував, що можливо зберегти доступ до аккаунту навіть у тому випадку, якщо власник вже вийшов з нього.
Що більш цікаво, анонімному трейдеру навіть вдалося отримати дані токенів, які належать співробітникам компанії.
«Їх пошта містить фрагмент @coins.exchange. Я практично впевнений, що витративши на цей процес цілий день вдалося б отримати і токени адміністрації. Я б тоді міг робити все, що завгодно», – пише він.
Представники Ars Technica змогли відтворити дії анонімного трейдера і також отримали безліч токенів аутентифікації. Вони зв’язалися з деякими випадковими користувачами цих токенів і уточнили, чи проходили вони реєстрацію на Dx.Exchange. Один з них сказав, що робив це близько години тому.
Працівники Ars Technica попередили біржу про присутньої уразливості. Через добу вона пішла в оффлайн на технічні роботи.
Згодом представник біржі опублікував повідомлення:
«Після отримання фідбек від Ars Technica ми відразу взялися за проведення відповідної роботи з виправлення бага. Dx.Exchange справила «м’який запуск», після чого ми отримали несподіваний позитивний відгук багатьох світових ЗМІ. У зв’язку з цим увагу до платформи і кількість користувачів почало зростати стрімкими темпами, завдяки чому нам вдалося виявити деякі баги. Левова їх частка вже виправлена, а деякі докладно вивчаються. Ми впевнені, що нам вдасться виправити всі недоліки і повністю відкритися найближчим часом».
Додатково варто відзначити, що це не єдиний виявлений баг, однак анонімний трейдер побоявся публікувати інші свої спостереження, оскільки побоюється, що представники біржі будуть йому мстити.
Тим не менш, опис багів біржі можна знайти в мережі, в тому числі і на тематичних ресурсах. Але ймовірно після того, як ці події отримали широкий розголос, керівництво біржі прийняло всі необхідні заходи для нейтралізації основних загроз.
Thanks!
Our editors are notified.