Платформа Dx.Exchange была запущена 7 января и уже исследователи обнаружили в ней уязвимости. Биржа призвана устранить разрыв между криптовалютами и обычными акциями. На ней можно приобрести не только оцифрованные версии акций Apple, Facebook и Apple, но и некоторые популярные криптовалюты.
Некий исследователь, чья личность хранится в тайне по юридическим причинам, провел проверку Dx.Exchnage и обнаружил, что платформа открывает доступ к данным пользователей.
Он создал новый аккаунт и заметил, что когда его браузер отправлял запрос на платформу, то этот запрос включал в себя очень длинную строку символов, называемую токеном аутентификации, который служит для подтверждения доступа к аккаунту. Ответы, которые платформа отправляла назад в браузер, тоже содержали множество конфиденциальных данных, включая токены аутентификации других пользователей и ссылки для сброса пароля.
Токены Dx.Exchnage создаются с использованием открытого стандарта JSON Web Tokens, который не обеспечивает достаточной надежности и любой, кто обладает достаточными навыками, может легко получить адреса электронной почты и полные имена пользователей.
«За 30 минут я собрал около 100 токенов пользователей. Если бы кто-то захотел ими воспользоваться в преступных целях, то это было бы очень легко», — пишет исследователь.
Однако на этом проблемы с безопасностью Dx.Exchange только начинаются. Эта утечка данных поставила под угрозу всю систему, так как идентификационные токены сотрудников компании также оказались скомпроментированы.
«Среди адресов электронной почты аккаунтов можно заметить адреса @coins.exchange. Я совершенно уверен, что всего лишь за день могу получить токен администратора и все, что только возможно», — сказал исследователь.
Сотрудники портала Ars Technica решили проверить информацию и связались с несколькими пользователями из полученного списка токенов. Они спросили пользователей, регистрировались ли они на Dx.Exchange. Один из пользователей сразу подтвердил, что он действительно буквально за час до обращения зарегистрировался на платформе.
Портал Ars Technica проинформировал Dx.Exchange о проблемах и платформа провела техническое обслуживание. Сотрудники Ars Technica также поинтересовались, планирует ли платформа сбросить все пароли и уведомить пользователей об утечке информации, но не получили ответа.
Помимо небрежности в отношении конфиденциальности, биржа даже не позаботилась предоставить контактную информацию на случай проблем. Исследователь сказал, что после обнаружения ошибок он просто не знал, как связаться с руководством.
