A exchange cripto e de ações tokenizadas sediada na Estônia DX.Exchange supostamente corrigiu uma vulnerabilidade crítica que vazava dados confidenciais de usuários.

O site de notícias de tecnologia Ars Technica relatou a violação de segurança em 9 de janeiro, citando um comerciante anônimo que conduziu a uma análise de segurança da DX.Exchange.

De acordo com o artigo da Ars Technica, um comerciante, que preferiu manter-se anônimo devido a preocupações legais, notou que a exchange estava enviando dados confidenciais de outros usuários para seu navegador. Após ter examinado os dados, o comerciante supostamente constatou que os dados incluíam fichas de autenticação de outros utilizadores e ligações de redefinição da palavra-passe:

"Eu tenho cerca de 100 tokens [de autenticação] coletadas em 30 minutos, [...] se você quisesse criminalizar isso, seria super fácil.

Os tokens de autenticação foram alegadamente formatados no padrão JSON Web token e poderiam ser facilmente decodificados com o uso de ferramentas on-line, obtendo nomes completos e endereços de e-mail dos usuários da exchange.

De acordo com a Ars Technica, o comerciante explicou que os tokens poderiam conceder acesso às suas contas associadas, desde que o usuário não tenha feito logout manualmente após o token ter vazado.

O comerciante também encontrou uma maneira de fazer backdoor permanente de uma conta usando a interface de programação da plataforma, que lhe concederia acesso mesmo depois que o usuário encerrasse a sessão.

Além disso, a Ars Technica informou que alguns dos dados de login vazados pela plataforma pertencem aos funcionários do site. O artigo explica a gravidade do problema:

"No caso de tal token dar acesso não autorizado a uma conta com privilégios administrativos, o hacker pode ser capaz de baixar bancos de dados inteiros, infestar o site com malware e, possivelmente, até mesmo transferir fundos de contas de usuários."

A própria Ars Technica verificou e confirmou a presença das vulnerabilidades descobertas pelo comerciante, obtendo o que descreveu como um grande número de tokens de autenticação através da interface de programação publicamente disponível.

A Ars Technica entrou em contato com a DX.Exchange e, de acordo com o artigo, o vazamento foi corrigido. No entanto, a empresa recusou-se a comentar sobre suas intenções de avisar os usuários sobre a vulnerabilidade agora corrigida:

"A Ars enviou uma resposta perguntando se a DX.Exchange planejava redefinir todos os tokens ou senhas de usuários e notificar os usuários de que um vazamento expunha seus nomes e endereços de e-mail. Até agora, os oficiais ainda não responderam".

Como a Cointelegraph relatou em 3 de janeiro, a DX.Exchange aproveita o protocolo FIX (Financial Information Exchange) da Nasdaq e permite que seus usuários negociem ações tokenizadas de grandes empresas, incluindo Google, Facebook e Amazon.

Até o momento desta publicação, a DX.Exchange não respondeu ao pedido de comentários da Cointelegraph.