報告:關鍵漏洞洩漏DX.Exchange上發現的用戶數據,稍後修補

 

據報導,基於愛沙尼亞的加密貨幣和代幣化證券交易所DX.Exchange修復了一個洩漏敏感用戶數據的關鍵漏洞。

技術新聞網站Ars Technica在1月9日報導了安全漏洞,引用了一位匿名交易員對DX.Exchange進行了安全性分析。

根據Ars Technica的文章,一位因法律問題而希望保持匿名的交易員注意到交易所正在將其他用戶的敏感數據發送到他們的瀏覽器。在檢查數據後,據報導交易者發現數據包括其他用戶的身份驗證令牌和密碼重置鏈接:

“我在30分鐘內收集了大約100個[身份驗證]令牌,[…]如果你想將其定罪,那將非常容易。”

據報導,身份驗證令牌採用JSON Web令牌標準格式化,可以使用在線工具輕鬆解碼,獲取交易所用戶的全名和電子郵件地址。

根據Ars Technica的說法,交易者解釋說,只要用戶在令牌洩露後沒有手動註銷,令牌就可以授予對其關聯賬戶的訪問權限。

據報導,該交易商還發現了一種通過使用平台的編程界面永久後門帳戶的方法,該界面即使在用戶退出後也可以授予他們訪問權限。

此外,Ars Technica報告稱該平台洩露的部分登錄數據屬於該網站的員工。文章解釋了問題的嚴重性:

“在這樣的令牌給具有管理權限的帳戶未經授權的訪問的情況下,黑客可能可以下載整個數據庫,種子與惡意軟件的網站,甚至可能將資金從用戶帳戶”。

據報導,Ars Technica本身已經檢查並確認了交易者發現的漏洞,通過公開的編程接口獲得了它所描述的大量身份驗證令牌。

Ars Technica聯繫了DX.Exchange,根據文章,洩漏現已得到修復。

針對Cointelegraph的評論請求,DX.Exchange聲稱該漏洞已成功修補,客戶的資金完全安全。交易所首席執行官Daniel Skowronski評論說:

“我們很高興地報告說,該漏洞已經成功修補,沒有任何用戶資金受到損害。”

作為Cointelegraph報導1月3日,DX.Exchange利用納斯達克的金融信息交換(FIX)協議,允許其用戶在貿易的主要公司,包括谷歌,Facebook和亞馬遜的標記化股票。

 

來源 : Cointelegraph.com

Telegram : https://t.me/blockchainsdaily