Эстонская криптотрейдинговая платформа DX.Exchange, которая на этой неделе начала работу, чтобы предложить клиентам возможность вкладывать криптовалюту в акции технологических компаний, запустилась с критическими уязвимостями, представляющими угрозу утечки конфиденциальной информации пользователей. Об этом изданию Ars Technica после проведения собственного анализа по обеспечению безопасности данных рассказал анонимный трейдер.
Так, по его словам, он смог получить токены аутентификации других пользователей криптоплощадки вместе со ссылками, необходимыми для восстановления паролей к их учетным записям. За полчаса трейдеру стали доступны 100 таких токенов в формате JSON Web Tokens, позволяющем извлечь полные имена и адреса электронной почты клиентов – и с их помощью получить доступ к аккаунтам, если их владельцы не вышли из системы по окончанию сессии.
Кроме того, он нашел способы проникнуть в аккаунты и после выхода пользователей из системы, а через профили сотрудников площадки с административными правами – получить полные базы данных со сведениями о клиентах, возможность внедрить на сайт зловредное ПО и вывести средства со счетов.
В Ars Technica провели дополнительную проверку названных уязвимостей и сообщили о них сотрудникам DX.Exchange, которые приняли меры для их устранения.
Напомним, что DX.Exchange создавалась на основе технологии биржевого гиганта Nasdaq. Используемый на платформе стандартный протокол сообщений позволяет поддерживать торговлю через API, поэтому платформу можно легко интегрировать с маркет-мейкерами, поставщиками ликвидности, алгоритмическими трейдерами и хедж-фондами.
материал сайта anycoin.news