Kilka dni temu informowalismy o planach wprowadzenia przez zarejestrowaną w Estonii giełdę DX.Exchange handlu stokenizowanymi akcjami czołowych spółek z NASDAQ. Poszerzenie oferty handlowej odbyło się jednak z poważnym falstartem - platforma giełdy wysyłała wrażliwe dane swoich klientów i pracowników, pozwalając na ich odszyfrowanie innym użytkownikom DX.Exchange. Wyciek danych został już zatrzymany, jednak wrażliwe dane wciąż mogą znajdować się w rękach niepowołanych osób.
Czytaj także: Te spółki z NASDAQ zostaną stokenizowane
Pierwsze wzmianki o mozliwych problemach bezpieczeństwa giełdy DX.Exchange pojawiły się w środę 9 stycznia. Anonimowy trader korzystający z platformy zwrócił uwagę na niecodziennie wyglądające dane, które pojawiają sie w kodzie witryny giełdy. Po ich analizie, stwierdził on że zawierają one m.in. tokeny autoryzacyjne służące do logowania innych użytkowników, a także linki do resetowania zapomnianego hasła bezpieczeństwa. W ciągu 30 minut udało mu się zebrać ponad sto wrazliwych danych autoryzacyjnych innych klientów platformy, które mogły w znaczący sposób ułatwić dostęp do konta handlowego niepowołanym osobom i zostac wykorzystane do kradzieży środków.
Tokeny autoryzacyjne były sformatowane w popularnym standardzie JSON Web Token, dzieki czemu mogły być w bardzo łatwy sposób odszyfrowane, co pozwoliłoby na uzyskanie dostępu do wrazliwych danych użytkowników. Co więcej,niektóre z wrazliwych danych należały najprawdopodobniej do pracowników giełdy, gdyż posiadały uprawnienia administracyjne.
Wg giełdy DX.Exchange krytyczny błąd zabezpieczeń został już naprawiony w czwartek 10 stycznia. Trudno jednak określić jak długo wrażliwe dane były publicznie dostępne w interfejsie programowania witryny DX.Exchange i czy nie zostały one wykorzystane przez potencjalnych atakujących. Niepokojącym jest również fakt, że w pełni regulowana giełda o stosunkowo dobrej reputacji dopuściła do tak krytycznej sytuacji, która w dodatku została wykryta dopiero przez uważnego klienta, nie zaś przez administratorów platformy.
Jest to kolejny z wielu argumentów za tym, aby ufać jedynie sobie i nie trzymać długoterminowo środków na jakiejkowliek giełdzie kryptowalut.
Czytaj także: Nie daj się okraść! Jak bezpiecznie posługiwać się kryptowalutami?