Обе громкие новинки прошлой недели, новая приватная монета Beam и площадка торговли токенизированными акциями американских компаний DX Exchange, как выяснилось, имели серьезные уязвимости в системах безопасности. В обоих случаях проблемы выявлены уже после запуска, пусть и на ранней стадии.
Об уязвимости, связанной с Beam, сообщили сами разработчики проекта. Пользователям настоятельно рекомендовали удалить ранее скачанные версии Beam Wallet со своих устройств, заменив их исправленной версией, размещенной на сайте проекта. Баг обнаружен самими разработчиками, детали уязвимости обещают предоставить позже. Известно только, что уязвимость не распространяется на данные кошелька, пароли и секретные ключи.
А вот в случае с DX Exchange все интереснее — уязвимость выявил технически подкованный трейдер, заинтересовавшийся новой платформой. К счастью для клиентов биржи, любознательный трейдер оказался к тому же человеком с принципами, сообщив о своем открытии в СМИ, которые затем связались с биржей до того, как опубликовать описание бага.
Как сообщает Ars Technica, энтузиаст, имя которого не называется, обнаружил следующее: когда его браузер посылал запрос сайту DX Exchange, сайт реагировал на запрос необычайно длинным для таких случаев ответом. Речь идет о так называемом токене аутентификации, требуемом для доступа в акккаунт. По неизвестным причинам, ответы, посылаемые пользователю DX Exchange, содержали массу дополнительных данных, совершенно не обязательных в таком случае. Расшифровав полученный ответ, трейдер с удивлением обнаружил, что он содержит массу посторонних конфиденциальных данных, включая аутентификационные токены других пользователей и линки для сброса и установки новых паролей.
«За 30 минут я собрал около сотни чужих токенов аутентификации, — утверждает энтузиаст. — Если бы я хотел воспользоваться этими данными в преступных целях, это было бы очень легко». Данные, выдаваемые сайтом, поступали в формате JSON Web tokens и после расшифровки через соответствующий сервис на общедоступном сайте позволяли вычленить имена и адреса клиентов DX Exchange. Токены не были ни зашифрованы, ни снабжены меткой времени.
Но это еще не все — некоторые из аккаунтов, к которым сайт так щедро предоставлял несанкционированный доступ, принадлежали сотрудникам самой биржи. Доступ к аккаунту с полномочиями администратора, например, может позволить экспортировать базу данных, вживить на сайт вредоносный код, или даже вывести средства с аккаунтов пользователей.
Издание перепроверило слова своего источника, проведя собственный тест согласно его инструкциям, после чего связалось с DX Exchange утром во вторник. Через восемь часов после отправки письма на связь вышел сотрудник службы безопасности биржи, попросив предоставить больше деталей. В среду уязвимость была ликвидирована. Биржа, впрочем, не ответила на вопрос о дальнейших действиях, например, будут ли пользователи извещены о выявленной уязвимости и предложат ли им заменить пароли.
