Платформа для торговли security-токенами DX.Exchange объявила об исправлении уязвимости системы безопасности, которая позволяла любому получить доступ к токенам аутентификации пользователей.

DX.Exchange, запущенная в понедельник, предлагает криптовалютные токены, представляющие акции ряда компаний, котирующихся на бирже Nasdaq. Платформа использует механизм сопоставления заявок и протокол обмена финансовой информацией знаменитой биржи, работающей с акциями высокотехнологичных компаний.

Тем не менее, в течение первых дней после запуска было обнаружено, что на DX.Exchange возможно получить доступ к конфиденциальным данным, включая ссылки для сброса пароля. Об этом вчера сообщило издание Ars Technica, в свою очередь получившее информацию от анонимного трейдера. Неясно, сколько пользовательских аккаунтов могло быть скомпрометировано, хотя, по словам источника издания, он собрал «около 100 токенов в течение 30 минут». Опытному трейдеру не составило труда разобраться в механизмах работы с пользовательской информацией, используемых на бирже, и выводы оказались самыми неутешительными.

«Если вы хотите использовать это в криминальных целях, это будет суперпросто», — отметил собеседник Ars Technica.

Он пояснил, что в ответе биржи на запрос оказывались «различные виды посторонних данных», фактически становящихся ключом к конфиденциальной информации других пользователей. Редакция издания последовала примеру трейдера, проследив за тем, как происходит обмен данными с платформой, и в итоге подтвердила: было возможно собрать «большое число» токенов аутентификации. Обратившись в e-mail к пользователям «восьми выбранных случайным образом токенов», журналисты получили ответ от одного из них, рассказавшего, что он действительно зарегистрировался на бирже часом ранее.

В заявлении DX.Exchange, последовавшем после объявленных биржей технических работ для «улучшения функциональности» и «исправления нескольких багов», проблема была охарактеризована как «ошибка токенов аутентификации». Однако биржа настаивает на том, что уязвимость была устранена в короткие сроки — прежде, чем пользователям мог быть нанесён какой-либо вред.

«Мы счастливы сообщить, что уязвимость была успешно устранена, и средства пользователей не были скомпрометированы… Средства пользователей всегда были в безопасности, наш многоуровневый расширенный мониторинг и механизм защиты были способны предотвратить любую проблему, которая могла возникнуть в дальнейшем», — заявил CEO биржи Дэниел Сковронски (Daniel Skowronski).

Он также поблагодарил журналиста Ars Technica, своевременно обратившегося к специалистам биржи. Как отмечается в заявлении, любой разработчик, который обнаружит баги в будущем, может сообщить о них бирже напрямую, воспользовавшись специальной программой, предусматривающей вознаграждение.