Один из пользователей выяснил, что платформа Dx.Exchange запущена с рядом критических ошибок
Криптовалютным комьюнити с большим энтузиазмом была воспринята новость об открытии новой площадки для инвестирования. Платформа Dx.Exchange создана для того, чтобы каждый обладатель цифровых активов мог вложить свои средства в акции Facebook, Apple и других технологических компаний.
Один из пользователей решил проверить уровень безопасности площадки и был, мягко говоря, удивлен, сообщает hitechmode.com
Трейдер зарегистрировал тестовый аккаунт, с которого и было осуществлено тестирование нового многообещающего веб-продукта. Любопытная деталь: специалистом по уязвимостям не использовался никакой хакерский инструментарий. Лишь Google Chrome и встроенные инструменты веб-разработчика.
Итак, трейдер стал анализировать данные, которыми обменивался его браузер с торговой площадкой Dx.Exchange. Помимо данных личного аккаунта, тестировщик заметил большое количество других символов, которые отдавал ему веб-ресурс. Как оказалось, это был отнюдь не случайный набор знаков и цифр. Трейдер сделал расшифровку и определил, что имеет дело с токенами аутентификации целого ряда сторонних пользователей. Еще один “улов” – ссылки для восстановления паролей от чужих аккаунтов.
За полчаса было собрано более сотни токенов аутентификации третьих лиц. Далее “белый хакер” решил получить доступ к учетным записям пользователей, токены которых он получил в результате неумышленного фишинга. Все счета оказались как на ладони, особенно если речь шла об юзерах, не завершивших сессию и находившихся онлайн. В процессе исследования выяснилось, что сохранить доступ к аккаунтам людей, который завершили сессию и вышли из системы, тоже реально.
Хакер уверен, что если бы он потратил на тестирование день своего личного времени, это закончилось бы получением токенов администрации ресурса. Под их учетными записями можно было бы делать все что угодно. Например, украсть все имеющиеся в системе деньги.
Платформа Dx.Exchange: проверка со стороны Ars Technica
Пользователь, “взломавший” новую торговую площадку, поделился своими наработками с изданием Ars Technica. Специалисты данного веб-ресурса без труда повторили все манипуляции, которые привели к получению ряда токенов аутентификации. Чтобы подтвердить реальность угроз, представители Ars Technica связались со случайными пользователей, чьи токены им удалось “украсть”.
После сбора всей информации, она была передана на биржу Dx.Exchange. Разработчики поблагодарили за находку и ушли в глубокий оффлайн.
Впоследствии один из руководителей платформы опубликовал развернутое сообщение о том, что изначально у биржи произошел так называемый “софт-старт”, то есть запуск в режиме тестирования. Впоследствии технические специалисты компании и сторонние наблюдатели проверяли систему на баги и нашли их критическое множество.
Ожидается, что все многочисленные замечания, полученные со стороны, будут исправлены и платформа Dx.Exchange окажется образцом секьюрности данных. Разработчики получили горький урок: понятия “блокчейн” и “криптовалюты” не означают безопасности по умолчанию. Для по-настоящему продвинутых веб-решений следует много и тщательно работать, зачастую привлекая сторонних тестировщиков и хакеров.
Читайте нас ВКонтакте и в Одноклассниках
