Tiền điện tử và trao đổi chứng khoán mã hóa dựa trên Estonia DX.Exchange đã sửa một lỗ hổng nghiêm trọng làm rò rỉ dữ liệu nhạy cảm của người dùng.

Trang web tin tức công nghệ Ars Technica đã báo cáo về vụ rò rỉ bảo mật ngày 9 tháng 1, trích dẫn một nhà giao dịch ẩn danh đã thực hiện phân tích bảo mật của DX.Exchange.

Theo bài báo của Ars Technica, một nhà giao dịch, người muốn ẩn danh do đối với các mối quan tâm pháp lý, nhận thấy rằng trao đổi đã gửi dữ liệu nhạy cảm của người dùng khác đến trình duyệt của họ. Sau khi kiểm tra dữ liệu, người giao dịch đã báo cáo rằng dữ liệu bao gồm các mã xác thực và liên kết đặt lại mật khẩu của người dùng khác:

Tôi có khoảng 100 thẻ được thu thập [authentication] trong hơn 30 phút, […] nếu bạn muốn hình sự hóa việc này, nó sẽ cực kỳ dễ dàng. [[9009003]

Các mã thông báo xác thực được định dạng theo tiêu chuẩn mã thông báo Web JSON và có thể dễ dàng giải mã bằng cách sử dụng các công cụ trực tuyến, có được tên đầy đủ và địa chỉ email của người dùng trao đổi.

Theo ArsTechnica, nhà giao dịch đã giải thích rằng các mã thông báo có thể cấp quyền truy cập vào tài khoản được liên kết của họ, miễn là người dùng đã đăng xuất thủ công sau khi mã thông báo bị rò rỉ.

Nhà giao dịch cũng đã tìm thấy một cách để sao lưu vĩnh viễn một tài khoản bằng cách sử dụng giao diện lập trình của nền tảng, điều này sẽ cấp cho họ quyền truy cập ngay cả sau khi người dùng đã đăng xuất.

e, Ars Technica đã báo cáo rằng một số dữ liệu đăng nhập bị rò rỉ bởi nền tảng thuộc về các nhân viên của trang web. Bài báo giải thích mức độ nghiêm trọng của vấn đề:

chuông Trong trường hợp mã thông báo đó đã truy cập trái phép vào tài khoản có quyền quản trị, tin tặc có thể tải xuống toàn bộ cơ sở dữ liệu phần mềm độc hại và thậm chí có thể chuyển tiền ra khỏi tài khoản người dùng. [[9009003]

Bản thân ArsTechnica đã kiểm tra và xác nhận sự hiện diện của các lỗ hổng được phát hiện bởi nhà giao dịch, nhận được số lượng lớn mã thông báo xác thực thông qua giao diện lập trình có sẵn công khai.

ArsTechnica đã liên hệ với DX.Exchange và theo bài báo, hiện tại rò rỉ đã được khắc phục. Tuy nhiên, công ty đã từ chối bình luận về ý định của mình để cảnh báo người dùng về lỗ hổng hiện đã được vá:

Sau đó, Ars Ars đã gửi phản hồi hỏi liệu DX.Exchange có kế hoạch đặt lại tất cả mã thông báo hoặc mật khẩu của người dùng hay không thông báo cho người dùng rằng rò rỉ đã tiết lộ tên và địa chỉ email của họ. Cho đến nay, các quan chức vẫn chưa trả lời. [[9009003]

Như Cointelegraph đã báo cáo vào ngày 3 tháng 1, DX.Exchange tận dụng giao thức trao đổi thông tin tài chính (FIX) của Nasdaq và cho phép người dùng giao dịch cổ phiếu của các công ty lớn , bao gồm Google, Facebook và Amazon.



Nguồn Cointelegraph