新DX.Exchange修复暴露用户数据的安全漏洞

DX.Exchange是一个允许加密货币交易和代币化常规美国股票交易的平台,在1月7日推出后遭遇重大安全漏洞。

精明的交易者决定测试新平台的安全性。经过一些初步挖掘后,他在谷歌Chrome浏览器中启用了开发人员工具。事情开始出错了。

身份验证令牌是每个用户的浏览器在希望访问其帐户时向相关网站发送的长字符串。当DX.Exchange收到交易者的身份验证令牌时,该站点发回了有效但仍包含额外的高度敏感数据的响应,包括其他用户的身份验证令牌和密码重置链接。

这位匿名交易员告诉Ars Technica:“我在30分钟内收集了大约100个代币。如果你想将其定罪,那将非常容易。”

令牌的格式为一个名为JSON Web令牌的开放标准。交易者可以通过获取泄露的数据并使用网站对其进行解码来识别DX.Exchange用户的姓名和电子邮件地址。交易者确认任何拥有身份验证令牌的人都可以访问受影响的帐户,除非用户在令牌泄露后手动注销。此外,即使用户注销,潜在的攻击者也可以使用站点编程接口保留对受损DX.Exchange帐户的访问权限。

一些泄露的令牌似乎也属于DX.Exchange员工。交易员相信,如果他继续挖掘,他可以获得一个管理令牌,让他可以访问所有东西。 Ars Technica通过模仿他自己获取身份验证令牌的步骤来确认交易者的故事。

交易者没有透露他是否能够在获得访问权限时在DX.Exchange用户帐户中执行交易。

DX.Exchange将这些问题归因于访问该网站的大量用户:“由于我们对平台的大量兴趣和大量注册,我们发现了一些错误,大多数是固定的,现在很少有人正在接受检查。我们是我有信心能够在最短的时间内解决所有问题并最终完成我们的发布。“

泄漏在发现后的第二天显然是固定的;为响应安全问题,DX.Exchange在1月10日发布了一篇博文:

“DX.Exchange报告称,它已经成功修补并关闭了由于身份验证令牌错误而导致的安全漏洞。交换机通过引入安全补丁立即做出响应,防止对用户及其资金造成任何威胁。”

首席执行官Daniel Skowronski感谢“警惕”记者提请注意违规行为,并补充说:“客户资金始终是安全的,我们的多层先进监控和防御机制能够避免任何进一步的问题。”

DX.Exchange还证实它现在有一个bug赏金计划,开发人员可以报告错误并“获得酌情补偿”。

但是,Ars Technica对DX.Exchange网站的安全协议提出了一些担忧:

“除了漏洞本身之外,还有其令牌系统的邋。。最佳实践要求对身份验证令牌加盖时间戳,然后在每次用户将其发送到站点时使用私有加密密钥进行签名。这可以防止所谓的重放攻击,黑客通过复制用户的有效Web请求并将其粘贴到新的欺诈性请求中来获取对帐户的未授权访问。“

虽然违规行为似乎没有导致DX.Exchange用户的任何资金损失,但在新产品发布之后发现这样一个重要的安全问题肯定会影响交易所的声誉。

来源:ETHNews

0

发表评论

电子邮件地址不会被公开。 必填项已用*标注

微信扫一扫

微信扫一扫

微信扫一扫,分享到朋友圈

新DX.Exchange修复暴露用户数据的安全漏洞
返回顶部

显示

忘记密码?

显示

显示

获取验证码

Close