Эстонская токенизированная фондовая биржа DX.Exchange могла полностью слить деньги и данные своих пользователей
Эстонской токенизированной фондовой бирже DX.Exchange пришлось исправлять критическую уязвимость, из-за которой происходила утечка конфиденциальных пользовательских данных. Проблему выявил один из трейдеров DX.Exchange, который провел собственное исследование и сообщил об этом сайту технологических новостей Ars Technica.
Трейдер заметил, что биржа отправляет конфиденциальные данные прочих пользователей на их браузеры. Изучив эти данные, трейдер обнаружил в них токены аутентификации других пользователей, а также ссылки для сброса паролей. Так, по его словам, он «собрал примерно 100 токенов аутентификации за 30 мин.».
Сообщается также, что токены аутентификации были отформатированы в стандарте веб-токенов JSON, что позволяет легко расшифровать их при помощи online-инструментов, получая в итоге полные имена и email пользователей DX.Exchange.
Трейдер также объяснил, как при помощи такого токена можно получить доступ к связанному аккаунту или даже навсегда заблокировать его.
Последние новости:
