DX.Exchange修复泄漏用户数据的关键漏洞

微信截图_20190111102601.jpg

据报道,基于爱沙尼亚的加密货币和代币化证券交易所DX.Exchange修复了一个泄漏敏感用户数据的关键漏洞。

科技新闻网站Ars Technica报道了这一安全漏洞,援引一名匿名交易员的话说,此人对DX.Exchange进行了安全分析。

根据Ars Technica的文章,一位因法律问题而希望保持匿名的交易员注意到交易所正在将其他用户的敏感数据发送到他们的浏览器。 在检查数据后,据报道交易者发现数据包括其他用户的身份验证令牌和密码重置链接:“我在30分钟内收集了大约100个身份验证令牌,如果你想将此定为刑事犯罪,那将非常容易。”

据报道,身份验证令牌采用JSON Web令牌标准格式化,可以使用在线工具轻松解码,获取交易所用户的全名和电子邮件地址。

根据Ars Technica的说法,交易者解释说,只要用户在令牌泄露后没有手动注销,令牌就可以授予对其关联账户的访问权限。

据报道,该交易商还发现了一种通过使用平台的编程界面永久后门帐户的方法,该界面即使在用户退出后也可以授予他们访问权限。

此外,Ars Technica报告称该平台泄露的部分登录数据属于该网站的员工。报告解释了问题的严重性:“如果此类令牌未经授权访问具有管理权限的帐户,则黑客可能能够下载整个数据库,使用恶意软件为该网站播种,甚至可能从用户帐户中转移资金。”

据报道,Ars Technica本身已经检查并确认了交易者发现的漏洞,通过公开的编程接口获得了它所描述的大量身份验证令牌。

Ars Technica联系了DX.Exchange,泄漏现已得到修复。

针对Cointelegraph的评论请求,DX.Exchange声称该漏洞已成功修补,客户的资金完全安全。 交易所首席执行官Daniel Skowronski评论说:“我们很高兴地报告说,漏洞已成功修补,用户资金也没有受损。”

正如Cointelegraph 1月3日报道的那样。Exchange利用纳斯达克(Nasdaq)的金融信息交换(Financial Information Exchange, FIX)协议,允许其用户对主要公司的股票进行标记交易,包括谷歌、Facebook和亚马逊(Amazon)。

上一篇
下一篇