蓝海财经_区块链蓝海,携手同行
    风险提示:请谨防ICO、变相ICO | 蓝海财经不具备任何投资指导意义。
我知道了

加密交易所DX上发现关键漏洞泄露用户数据

据报道,基于爱沙尼亚的加密货币和代币化证券交易所 DX.Exchange修复了一个泄漏敏感用户数据的关键漏洞。

image.png

技术新闻网站Ars Technica 在1月9日报道了安全漏洞,引用了一位匿名交易员对DX.Exchange进行了安全性分析。

根据Ars Technica的文章,一位因法律问题而希望保持匿名的交易员注意到交易所正在将其他用户的敏感数据发送到他们的浏览器。在检查数据后,据报道交易者发现数据包括其他用户的身份验证令牌和密码重置链接:

“我在30分钟内收集了大约100个[身份验证]令牌,[...]如果你想将其定罪,那将非常容易。”

据报道,身份验证令牌采用JSON Web令牌标准格式化,可以使用在线工具轻松解码,获取交易所用户的全名和电子邮件地址。

根据Ars Technica的说法,交易者解释说,只要用户在令牌泄露后没有手动注销,令牌就可以授予对其关联账户的访问权限。

据报道,该交易商还发现了一种通过使用平台的编程界面永久后门帐户的方法,该界面即使在用户退出后也可以授予他们访问权限。

此外,Ars Technica报告称该平台泄露的部分登录数据属于该网站的员工。文章解释了问题的严重性:

“如果此类令牌未经授权访问具有管理权限的帐户,则黑客可能能够下载整个数据库,使用恶意软件为该网站播种,甚至可能从用户帐户中转移资金。”

据报道,Ars Technica本身已经检查并确认了交易者发现的漏洞,通过公开的编程接口获得了它所描述的大量身份验证令牌。

Ars Technica联系了DX.Exchange,根据文章,泄漏现已得到修复。

针对Cointelegraph的评论请求,DX.Exchange声称该漏洞已成功修补,客户的资金完全安全。交易所首席执行官Daniel Skowronski评论说:

“我们很高兴地报告说,该漏洞已经成功修补,没有任何用户资金受到损害。”

正如Cointelegraph在1月3日报道的那样,DX.Exchange利用纳斯达克的金融信息交换(FIX)协议,允许其用户交易主要公司的代币化股票,包括谷歌,Facebook和亚马逊。

声明:所有在本站发表的文章,本站都具有最终编辑权。本站全部作品均系蓝海财经原创或来自网络转载,转载目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责,所产生的纠纷与本站无关。如涉及作品内容、版权和其它问题,请尽快与本站联系,具体联系方式请见下方二维码。
    下一篇

美国国会议员Darren Soto表示,大多数加密货币不应受该国证券监管机构的监管。索托于1月10日接受财经新闻频道切达的采访时发表了自己的评论。