Трейдер рассказал о серьёзных багах крипто-платформы Dx.Exchange

casio

Запущенная под всеобщие фанфары на этой неделе трейдинговая платформа Dx.Exchange, позволяющая инвестировать в акции технологических компаний, таких как Apple и Facebook, с помощью криптовалют, содержит ряд серьёзных уязвимостей. Об этом заявил анонимный трейдер, поделившийся своими наблюдениями с порталом Ars Technica.

Он зарегистрировал аккаунт на Dx.Exchange и обнаружил, что данные, которые передаёт его браузер бирже, включают в себя токен аутентификации и детали самого аккаунта. По его словам, помимо прочего ему удалось получить токены аутентификации других пользователей и ссылки для восстановления паролей от их аккаунтов. Токены основываются на формате JSON Web Tokens, что открывает большие возможности перед теми, кто имеет достаточные знания, чтобы использовать эту информацию в собственных интересах.

«Я собрал около 100 токенов за 30 минут. Если кто-то захочет использовать их для осуществления преступной деятельности, сделать это будет чрезвычайно легко», – пишет он.

Автору публикации утверждает, что ему удалось получить доступ к аккаунтам пользователей, которые ещё не успели выйти из них к моменту утечки. В ходе дальнейшего изучения проблемы он обнаружил, что может сохранить доступ к аккаунту, даже если владелец выйдет из него.

Впрочем, на этом открытия анонимного трейдера не заканчиваются – ему удалось получить и данные токенов, принадлежащих сотрудникам самой компании.

«Email-адреса содержат фрагмент @coins.exchange. С большой долей уверенности могу заявить, что, если бы я потратил на это целый день, то в конце концов получил бы административный токен и тогда смог бы делать вообще всё», – пишет он.

Представитель Ars Technica подтвердил, что биржа активно передаёт данные токенов аутентификации. Он связался с несколькими пользователями, токены которых ему удалось получить, и спросил, регистрировались ли они на Dx.Exchange. Один из них подтвердил, что зарегистрировался на бирже за час до этого.

Ars Technica предупредили о проблеме биржу, которая в течение 24 часов после этого ушла на технические работы из-за необходимости «осуществить исправление нескольких багов и обновления».

«Баг был немедленно выявлен и устранён, как только Ars Technica передала нам свой профессиональный фидбек. Dx.Exchange прошла “мягкий запуск”, и мы получили неожиданный и позитивный отклик СМИ во всём мире. В связи с большим вниманием к платформе и активной регистрацией пользователей нам удалось выявить некоторые баги, большинство из которых было уже исправлено, а другие пока изучаются. Мы уверены, что сможем исправить их и полностью запуститься в кратчайшие сроки», – заявил представитель биржи.

7ambrion

а че за токены такие?!

casio

вопрос только как он данные чужих пользователей получил... их в его браузере и не должно было быть.

7ambrion

если он получил доступ к бд то почему бы и нет ) по крайней мере биржа не назвала его пи...болом ))

casio

Участник @7ambrion написал в Трейдер рассказал о серьёзных багах крипто-платформы Dx.Exchange:

если он получил доступ к бд то почему бы и нет ) по крайней мере биржа не назвала его пи...болом ))

Ну может глюк был мелким, исправили и все ...

Ivan Ivanov

повезло, что человек порядочный попался и не стал использовать баги в своих корыстных целях. биржа ему еще должна вознаграждение выплатить.

casio

Участник @ivan-ivanov написал в Трейдер рассказал о серьёзных багах крипто-платформы Dx.Exchange:

повезло, что человек порядочный попался и не стал использовать баги в своих корыстных целях. биржа ему еще должна вознаграждение выплатить.

Да там на биржи наверное мышь повесилась .... в смысле и воровать еще как бы нечего.

Ivan Ivanov

@casio они только запустились, но в любом случае, можно было не раскрывать баги и подождать момента, когда будет хорошая возможность урвать финансы.

casio

Участник @ivan-ivanov написал в Трейдер рассказал о серьёзных багах крипто-платформы Dx.Exchange:

@casio они только запустились, но в любом случае, можно было не раскрывать баги и подождать момента, когда будет хорошая возможность урвать финансы.

ну тут не факт что завтра дырку не закроют они самостоятельно.

Ivan Ivanov

@casio самая главная проблема - это обнаружить уязвимость, а закрыть ее уже дело техники.

garryncha

@7ambrion В данном случае речь идет о стандарте для токенов доступа JSON Web Tokens.

Ivan Ivanov

@garryncha странно, что так халатно подошли к одному из важнейших вопросов в плане безопасности - безопасность доступа.

garryncha

@ivan-ivanov Ну тут получается лишний раз подтверждение ненужности спешки.

Ivan Ivanov

@garryncha в таких платформах безопасность - это практически самый важный фактор, а они им пренебрегли.

CryptoMax

Жалко он не написал подробный мануал, как там чего нажимать))). А то бы быстренько нашлись трейдеры, не обремененные моралью, да и воспользовались бы посланной небесами возможностью)).

casio

Участник @cryptomax написал в Трейдер рассказал о серьёзных багах крипто-платформы Dx.Exchange:

Жалко он не написал подробный мануал, как там чего нажимать))). А то бы быстренько нашлись трейдеры, не обремененные моралью, да и воспользовались бы посланной небесами возможностью)).

не факт что там есть такая дыра вообще ... написать то можно все.

Ivan Ivanov

@cryptomax оказался порядочным человеком и не стал использовать дыру в системе в своих целях, таких людей не так много.

garryncha

@ivan-ivanov Я-бы сказал что это очень редкий вид людей сегодня.

Ivan Ivanov

@garryncha но тем не менее, оказывается, что они есть и в криптовалютном сообществе еще не все так плохо.

casio

Участник @ivan-ivanov написал в Трейдер рассказал о серьёзных багах крипто-платформы Dx.Exchange:

@cryptomax оказался порядочным человеком и не стал использовать дыру в системе в своих целях, таких людей не так много.

да там и взять думаю было нечего ...