Эстонской токенизированной фондовой бирже DX.Exchange пришлось исправлять критическую уязвимость, из-за которой происходила утечка конфиденциальных пользовательских данных.
Проблему обнаружил один из трейдеров DX.Exchange, который провёл собственное исследование и сообщил об этом сайту технологических новостей Ars Technica.
Трейдер заметил, что биржа отправляет конфиденциальные данные других пользователей на их браузеры. Изучив эти данные, трейдер обнаружил в них токены аутентификации других пользователей, а также ссылки для сброса паролей. Так, по его словам, он «собрал около 100 токенов аутентификации за 30 минут».
Сообщается также, что токены аутентификации были отформатированы в стандарте веб-токенов JSON, что позволяет легко расшифровать их при помощи онлайн-инструментов, получая в итоге полные имена и email пользователей DX.Exchange.
Трейдер также объяснил, как при помощи такого токена получить доступ к связанному аккаунту или даже навсегда заблокировать его.
Кроме того, выяснилось, что некоторые просочившиеся данные принадлежат сотрудникам биржи. Ars Technica объясняет серьёзность проблемы следующим образом:
«В случае, если бы токен аутентификации предоставил несанкционированный доступ к какому-либо аккаунту с правами администратора, то хакер мог бы загрузить целые базы данных, заполнить сайт вредоносным ПО и даже вывести средства из аккаунтов пользователей».
Ars Technica также сообщает, что на данный момент уязвимость устранена, и средства пользователей не пострадали.
В целом следует отметить, что DX.Exchange использует протокол обмена финансовой информацией Nasdaq (FIX) и позволяет пользователям торговать токенизированными ценными бумагами таких крупных компаний, как Google, Facebook и Amazon.
