新推出的DX.Exchange交易所在其網站上存在嚴重安全問題,如果他們陷入惡意人手中,可能會危及用戶的敏感數據和資金。
新的交易平台允許用戶交易許多大公司股票的加密和數字化版本,如蘋果,特斯拉和亞馬遜,在推出後僅3天就成功吸引了公眾的注意力。
文章回顧:DX來了! 使用NASDAQ技術,全新加密貨幣交易所公布上線
DX.Exchange首席執行官Daniel Skowronski接受采訪時表示他們已經擁有600,000名註冊用戶。
然而,一位匿名在線交易商進行的「試驗」顯示,DX.Exchange網站涉及安全問題,危及其用戶的敏感數據,甚至是他們的資金。
因此,幾天前,在聽到平台發布之後,一位在線交易員決定試一試,看看他是否想要使用它。
他創建了一個虛擬賬戶,因為他仍然希望看到平台的穩健性以及確保安全級別,因為它收集了大量用戶的敏感信息,例如財務和法律數據。
在探索該平台時,他開啟了Chrome瀏覽器的開發者工具並發現讓他震驚的情況。他的瀏覽器發送給DX.Exchange的請求包含了不應該存在的信息,這是用戶訪問其帳戶所需的身份驗證令牌。
他也不知道為什麼DX.Exchange發送給他的瀏覽器的回應中包含大量敏感信息,包括其他用戶的身份驗證令牌和密碼重置鏈接。
他說:「我在30分鐘內收集了大約100個驗證令牌」。
由於令牌是使用標準JSON Web令牌格式化的,因此任何有足夠技能了解此站點的人都可以輕鬆查看令牌所屬的DX.Exchange用戶的全名和電子郵件地址。
他繼續說道:「如果你想將此用於犯罪行為,是一件非常容易的事。」
通過使用站點編程接口進行一些調整,即使用戶已經註銷,他甚至可以成功保持對任何帳戶的訪問權限。他很遺憾該網站在調用API時沒有發出任何通知。
這就是問題的全部嗎?
可悲的是,事實並非如此。除了洩漏敏感數據並允許未經授權訪問用戶帳戶外,洩漏還會使整個系統處於危險之中,因為一些洩露的令牌屬於公司員工。
想像一下,如果惡意用戶設法獲得具有管理員權限的員工帳戶,他們可以做些什麼。
這位交易員對Ars Technica說,要從交易所獲得令牌。他繼續說:「你可以從帳戶的電子郵件地址看到它是 @coins.exchange。我非常有信心,我可以在一天內做到這一點,並獲得一個管理令牌,並擁有一切。」
Ars Technica的工作人員隨後發現DX.Exchange站點確實響應了大量的身份驗證令牌。他設法聯繫了令牌列表中的幾個用戶,詢問他們是否真的在交易所有賬戶,其中一個確認剛剛在不到一個小時前註冊。
DX.Exchange官方已在Twitter帳戶上正式公佈有關計劃維護更新以改進平台功能的消息。
WE SCHEDULED FOR TODAY AT 11:00 AM (ESTONIA TIME ZONE) A MAINTENANCE UPDATE TO IMPROVE OUR PLATFORM FUNCTIONALITY AND PERFORM SEVERAL BUG FIXES AND UPDATES. THE PLATFORM WILL COME BACK FULLY FUNCTIONAL AFTER FEW MINUTES. THANK YOU FOR YOUR PATIENCE
— DX.Exchange (@DXdotExchange) January 9, 2019
在不到24小時的時間裡,該團隊確認了這個漏洞,並感謝Ars,根據Ars的分析,這個漏洞確實被修補了。
請關注 明日幣圈Facebook粉絲專頁 及 Telegram電報群 哦,是免費的。