DX.Exchange爆出严重漏洞,官方宣布已修复

2019年1月11日 12:25
來源:香港奇点财经 Singularity Financial

DX.Exchange是近期倍受关注的交易所,该交易所在爱沙尼亚以及以色列运营,不仅提供10种主流的数字货币交易,还提供Facebook(FB),英特尔(INTC),亚马逊(AMZN),百度(BIDU),Apple(AAPL),NVIDISA(NVDA),Netflix(NFLX),Microsft( MSFT),特斯拉(TSLA)和谷歌(GOOGL)的代币化股票交易。DX.Exchange首席执行官Daniel Skowronski去年8月接受采访时表示,他们已经获得了60万名以上的注册用户,奇点财经查阅该网站后发现,该公司由Nasdaq提供技术支持,还是彭博加密货币版块主要的赞助商,拥有爱沙尼亚正规的金融牌照。

但该网站近期爆出存在严重安全问题,用户的私人信息和资金安全处在严重威胁之中。一位在线交易员创建了虚拟账户,以测试该网站的安全性能,他发现该网站收集了用户大量的敏感信息。在探索该平台时,他开启了Chrome浏览器的开发者工具,以获得更好的视角,他的发现让人大吃一惊。

DX.Exchange获取了不应该被请求的信息,即用户访问其帐户所需的身份验证令牌。更令人惊奇的是,DX.Exchange发送给他的浏览器的响应中包含大量敏感信息,包括其他用户的身份验证令牌和密码重置链接。

他提到:“我在30分钟内收集了大约100个令牌,如果你想将此定为刑事犯罪,那将非常容易”。由于令牌是使用标准JSON Web令牌格式化的,因此任何有足够技能了解此站点的人都可以轻松查看令牌所属的DX.Exchange用户的全名和电子邮件地址。

他很遗憾该网站在调用API时没有发出任何通知,并怀疑双重身份验证能否解决问题,尽管他没有那么做,因为这需要提供他的电话号码。

此外,除了泄漏敏感数据并允许未授权用户访问账户外,该漏洞还会使整个系统处于更大的危险之中,因为一些泄露的令牌属于公司员工。想象一下,如果恶意用户设法控制了具有管理员权限的员工帐户,他们可以做些什么。

科技网站Ars Technica工作人员随后发现DX.Exchange站点确实回复了大量的身份验证令牌,他们设法联系了令牌列表中的几个用户,询问他们是否真的在交易所拥有账户,其中一个确认刚刚在一个小时前注册。

交易所称已修补漏洞

几个小时前,DX.Exchange通过其博客上的帖子宣布,他们的开发人员已找出了问题的根源并修补了漏洞。

DX.Exchange官推表示:
“我们计划在上午11点(爱沙尼亚时区)进行维护更新,以提高我们的平台功能并执行几个错误修正和更新。平台将在几分钟后恢复正常功能。感谢您的耐心等待”

此外,DX.Exchange还将推出“赏金计划”,对报告漏洞的开发者提供报酬。

DX.Exchange首席执行官Daniel Skowronski表示

“我们要感谢提供漏洞的人,我们很高兴地报告此漏洞已成功修补,并且没有任何用户资金损失。客户资金总是安全的,我们的多层先进监控和防御机制能够避免任何进一步的问题。“

奇点财经提醒,短期内投资者仍需谨慎在此平台进行交易。