пятница, 23 Августа, 2019

Подробно

Торговая площадка Dx.Exchange содержит дыры в безопасности

Отдел информации
05.02.2019 - 10:17
Торговая площадка Dx.Exchange содержит дыры в безопасности

Один из пользователей выяснил, что платформа Dx.Exchange запущена с рядом критических ошибок

Криптовалютным комьюнити с большим энтузиазмом была воспринята новость об открытии новой площадки для инвестирования. Платформа Dx.Exchange создана для того, чтобы каждый обладатель цифровых активов мог вложить свои средства в акции Facebook, Apple и других технологических компаний.

Один из пользователей решил проверить уровень безопасности площадки и был, мягко говоря, удивлен, сообщает hitechmode.com

Трейдер зарегистрировал тестовый аккаунт, с которого и было осуществлено тестирование нового многообещающего веб-продукта. Любопытная деталь: специалистом по уязвимостям не использовался никакой хакерский инструментарий. Лишь Google Chrome и встроенные инструменты веб-разработчика.

Итак, трейдер стал анализировать данные, которыми обменивался его браузер с торговой площадкой Dx.Exchange. Помимо данных личного аккаунта, тестировщик заметил большое количество других символов, которые отдавал ему веб-ресурс. Как оказалось, это был отнюдь не случайный набор знаков и цифр. Трейдер сделал расшифровку и определил, что имеет дело с токенами аутентификации целого ряда сторонних пользователей. Еще один “улов” – ссылки для восстановления паролей от чужих аккаунтов.

За полчаса было собрано более сотни токенов аутентификации третьих лиц. Далее “белый хакер” решил получить доступ к учетным записям пользователей, токены которых он получил в результате неумышленного фишинга. Все счета оказались как на ладони, особенно если речь шла об юзерах, не завершивших сессию и находившихся онлайн. В процессе исследования выяснилось, что сохранить доступ к аккаунтам людей, который завершили сессию и вышли из системы, тоже реально.

Хакер уверен, что если бы он потратил на тестирование день своего личного времени, это закончилось бы получением токенов администрации ресурса. Под их учетными записями можно было бы делать все что угодно. Например, украсть все имеющиеся в системе деньги.

Платформа Dx.Exchange: проверка со стороны Ars Technica

Пользователь, “взломавший” новую торговую площадку, поделился своими наработками с изданием Ars Technica. Специалисты данного веб-ресурса без труда повторили все манипуляции, которые привели к получению ряда токенов аутентификации. Чтобы подтвердить реальность угроз, представители Ars Technica связались со случайными пользователей, чьи токены им удалось “украсть”.

После сбора всей информации, она была передана на биржу Dx.Exchange. Разработчики поблагодарили за находку и ушли в глубокий оффлайн.

Впоследствии один из руководителей платформы опубликовал развернутое сообщение о том, что изначально у биржи произошел так называемый “софт-старт”, то есть запуск в режиме тестирования. Впоследствии технические специалисты компании и сторонние наблюдатели проверяли систему на баги и нашли их критическое множество.

Ожидается, что все многочисленные замечания, полученные со стороны, будут исправлены и платформа Dx.Exchange окажется образцом секьюрности данных. Разработчики получили горький урок: понятия “блокчейн” и “криптовалюты” не означают безопасности по умолчанию. Для по-настоящему продвинутых веб-решений следует много и тщательно работать, зачастую привлекая сторонних тестировщиков и хакеров.

Больше материалов по теме

22.08 - 13:58 Разное
О необходимости соответствия объектов нормам пожарной безопасности знает каждый
22.08 - 12:55 Разное
Профессиональное оформление пропусков в МСК: заказать онлайн
20.08 - 18:04 Разное
позволяют организации получать сервис высокого уровня и экономить деньги
Отдел информации
Отдел информации
Николай Севостьянов
Отдел информации
Отдел информации
Отдел информации
Отдел информации
Считаем число жертв
Отдел информации
Варшава ликвидировала более 420 советских монументов
Ирина Антонова
Авиалайнер посадили на брюхо в кукурузном поле. Без жертв
Отдел информации
В Минприроде заявили о возможном запрете на экспорт леса в Китай
Отдел информации
Зачем Василия Бойко-Великого посадили в клетку
Леонид Болотин
Мошенники уже не спрашивают персональные данные
Отдел информации
Россия продолжает сокращать вложения в госбумаги США
Отдел информации
Почему промышленный гигант ХКБМ оказался под угрозой закрытия
Анна Пономарева
16+
Рейтинг@Mail.ru Rambler's Top100 Яндекс цитирования