Individuato e successivamente risolto un grave problema di sicurezza su DX.Exchange

DX.Exchange, la piattaforma di trading di criptovalute e azioni tokenizzate con sede in Estonia, ha risolto un'importante vulnerabilità che metteva a repentaglio la sicurezza dei dati sensibili degli utenti.

Il sito web Ars Technica ha pubblicato un report sulla falla di sicurezza il 9 gennaio, citando un trader anonimo che ha condotto un'analisi dei sistemi di sicurezza dell'exchange.

Secondo l'articolo di Ars Technica, il trader, che ha scelto di rimanere anonimo per evitare problemi legali, avrebbe notato che l'exchange stava inviando dati sensibili di altri utenti al proprio browser. Dopo averli esaminati, ha scoperto che tra le informazioni vi erano anche i loro token di autenticazione e i link di reset delle password.

"Ho raccolto circa 100 token di [autenticazione] in appena 30 minuti, [...] sarebbe stato facilissimo abusare di una cosa del genere."

Pare che i token fossero nel formato standard JSON, ed era quindi possibile decodificarli tramite semplici strumenti reperibili online, ottenendo così nomi completi e indirizzi e-mail degli utenti dell'exchange.

Essendo dei token di autenticazione, garantivano inoltre l'accesso agli account associati, a condizione che gli utenti a cui appartenevano non si fossero disconnessi manualmente una volta usciti dal sito.

Il trader sostiene inoltre di aver trovato un modo per ottenere l'accesso permanente agli account, anche dopo un eventuale log out manuale, tramite una vulnerabilità dell'interfaccia.

Ars Technica afferma che alcuni dei dati di accesso trapelati dalla piattaforma appartengano ai dipendenti del sito. L'articolo illustra la gravità del problema:

"Nel caso in cui uno dei token fornisse accesso ad un account con privilegi amministrativi, l'hacker potrebbe essere in grado di scaricare interi database, riempire il sito di malware e persino trasferire fondi dagli account degli utenti."

La stessa Ars Technica avrebbe controllato e confermato la presenza delle vulnerabilità scoperte dal trader, confermando di essere riuscita ad ottenere un grosso numero di token d'autenticazione semplicemente attraverso il browser web. Dopo la segnalazione, pare ora che il problema sia stato risolto.

Come segnalato il 3 gennaio, DX.Exchange sfrutta il protocollo FAS (Financial Information Exchange) del Nasdaq e permette di effettuare il trading delle azioni tokenizzate di grandi aziende, tra cui Google, Facebook e Amazon.

Al momento della stesura di questo articolo, DX.Exchange non ha risposto alla richiesta di commenti di Cointelegraph.