El exchange de criptomonedas y valores tokenizados con sede en Estonia DX.Exchange ha corregido una vulnerabilidad crítica que filtró datos confidenciales de los usuarios.
El sitio web de noticias de tecnología Ars Technica informó sobre la fuga de seguridad el 9 de enero, citando a un operador anónimo que realizó un análisis de seguridad de DX.Exchange.
De acuerdo con el artículo de Ars Technica, un comerciante que deseaba permanecer en el anonimato debido a problemas legales, notó que el exchange estaba enviando datos confidenciales de otros usuarios a su navegador. Después de examinar los datos, el comerciante, supuestamente, encontró que los datos incluían tokens de autenticación de otros usuarios y enlaces de restablecimiento de contraseña:
"He recolectado alrededor de 100 tokens [de autenticación] durante 30 minutos, [...] si quisieras criminalizar esto, sería muy fácil".
Según se informa, los tokens de autenticación se formatearon en el estándar de token web de JSON y podrían decodificarse fácilmente con el uso de herramientas en línea, obteniendo nombres completos y direcciones de correo electrónico de los usuarios del exchange.
Según Ars Technica, el operador ha explicado que los tokens podrían permitir el acceso a sus cuentas asociadas, siempre y cuando el usuario no haya cerrado la sesión manualmente después de que se filtrara el token.
El comerciante también ha encontrado una forma de bloquear de forma permanente una cuenta mediante el uso de la interfaz de programación de la plataforma, que les permitiría acceder incluso después de que un usuario haya cerrado la sesión.
Además, Ars Technica informó que algunos de los datos de inicio de sesión filtrados por la plataforma pertenecen a los empleados del sitio. El artículo explica la gravedad del problema:
"En el caso de que tal token diera acceso no autorizado a una cuenta con privilegios administrativos, el hacker podría descargar bases de datos completas, sembrar el sitio con malware y posiblemente incluso transferir fondos desde las cuentas de usuario".
La propia Ars Technica ha verificado y confirmado la presencia de las vulnerabilidades descubiertas por el comerciante, obteniendo lo que describió como un gran número de tokens de autenticación a través de la interfaz de programación disponible públicamente.
En respuesta a una solicitud de comentarios de Cointelegraph, DX.Exchange ha afirmado que la vulnerabilidad se ha solucionado con éxito y que los fondos de los clientes son completamente seguros. El CEO del exchange, Daniel Skowronski, ha comentado:
"Nos complace informar que la vulnerabilidad se ha solucionado exitosamente y que no se comprometieron los fondos de los usuarios".
Tal como Cointelegraph informó el 3 de enero, DX.Exchange aprovecha el protocolo de Intercambio de Información Financiera (FIX) de Nasdaq y permite a sus usuarios comerciar con acciones de las principales compañías, como Google, Facebook y Amazon.