Эстонской токенизированной фондовой бирже DX.Exchange пришлось исправлять критическую уязвимость, из-за которой происходила утечка конфиденциальных пользовательских данных.
Проблему обнаружил один из трейдеров DX.Exchange, который провёл собственное исследование и сообщил об этом сайту технологических новостей Ars Technica.
Трейдер заметил, что биржа отправляет конфиденциальные данные других пользователей на их браузеры. Изучив эти данные, трейдер обнаружил в них токены аутентификации других пользователей, а также ссылки для сброса паролей. Так, по его словам, он «собрал около 100 токенов аутентификации за 30 минут».
Сообщается также, что токены аутентификации были отформатированы в стандарте веб-токенов JSON, что позволяет легко расшифровать их при помощи онлайн-инструментов, получая в итоге полные имена и email пользователей DX.Exchange.
Трейдер также объяснил, как при помощи такого токена получить доступ к связанному аккаунту или даже навсегда заблокировать его.
Кроме того, выяснилось, что некоторые просочившиеся данные принадлежат сотрудникам биржи. Ars Technica объясняет серьёзность проблемы следующим образом:
Сразу видно пидорская биржа, 20 долларов в месяц за что? За то что они комиссию убрали? А ничего что акция майкрасофт у них стоит 106$ когда на фонде 102% не хилую они такую комсу берут в 4% которой у них якобы нет.