Dx.Exchange tiene graves deficiencias de seguridad que podrían ser fácilmente penalizadas

0

La plataforma de comercio de tokens de seguridad DX.Exchange dice que ha solucionado una vulnerabilidad de seguridad que permitió a cualquier persona acceder a tokens de autenticación de usuarios, pero ¿podrá ganar la confianza que perdió?.

La nueva plataforma comercial, que fue lanzada el 7 de enero, permite a los usuarios intercambiar versiones criptográficas y digitalizadas de las acciones de muchas de las principales empresas, como Apple, Tesla y Amazon. El lanzamiento de la exchange pudiese haber sido considerado un éxito ya que ha logrado atraer la atención del público en tan solo 3 días.

Sin embargo tiene un problema de seguridad grave en su sitio web que pueden poner en peligro los datos y fondos confidenciales de los usuarios si caen en manos de personas equivocadas.

Como se informó anteriormente, la compañía utiliza el motor de coincidencia de Nasdaq y el protocolo de intercambio de información financiera para facilitar el comercio de estos valores digitales.

Aunque la exchange había recibido algunas críticas favorables por parte de los principales medios de comunicación, la exposición ahora ha dado un giro para lo peor, ya que los informes que han surgido establecen que Dx.Exchange tiene algunos problemas de seguridad importantes.

Un comerciante en línea, cuya identidad sigue siendo un secreto por razones legales, realizó algunos controles de seguridad en la plataforma Dx.Exchange recientemente lanzada y descubrió que el sitio estaba filtrando algunos datos legales y financieros confidenciales.

El operador anónimo entregó esta información a Ars Technica y creó una cuenta ficticia para probar la robustez de la plataforma y su seguridad. Poco después de activar la herramienta de desarrollo en el navegador Google Chrome para explorar más, descubrió algunos detalles impactantes.

El comerciante descubrió que la solicitud que había enviado desde su navegador a Dx.Exchange incluía información sobre el token autenticado y los detalles del usuario para acceder a la cuenta.

Al parecer, el comerciante anónimo dijo que la información en el navegador también contenía enlaces para restablecer la contraseña de los tokens de otros usuarios. Los tokens se formatean utilizando un estándar abierto llamado JSON Web Tokens, que lo deja abierto a aquellos que tienen la habilidad suficiente para obtener fácilmente direcciones de correo electrónico y los nombres completos de los propietarios del token.

De esta manera, en sus primeros días, la plataforma reveló datos confidenciales, incluidos enlaces de restablecimiento de contraseña, según lo informado por Ars Technica. No está claro cuántas cuentas de usuario estaban comprometidas, aunque el comerciante anónimo dijo al sitio de noticias que recolectó “alrededor de 100… tokens en 30 minutos”.

Y dado que estos están formateados en los tokens web JSON estándar, cualquier persona con la habilidad suficiente para conocer este sitio podría ver fácilmente los nombres completos y las direcciones de correo electrónico de los usuarios de DX.Exchange a los que pertenecen los tokens.

“Si quisieras criminalizar esto, sería muy fácil”, continuó.

Como si no hubiese sido suficiente, el operador anónimo descubrió aún más problemas de seguridad con la plataforma Dx.Exchange. La fuga puso en peligro todo el sistema, ya que también se pudo acceder a los datos de token que pertenecen a los empleados de la empresa.

La propia Ars Technica afirma haber verificado y confirmado la presencia de las vulnerabilidades descubiertas por el comerciante, obteniendo lo que describió como un gran número de tokens de autenticación a través de la interfaz de programación disponible públicamente.

De esta manera, Ars Technica se contactó con DX.Exchange y, según el artículo, la fuga ya se ha solucionado. Sin embargo, la compañía declinó comentar sobre sus intenciones de advertir a los usuarios sobre la vulnerabilidad ahora remendada:

“Ars envió una respuesta preguntando si DX.Exchange planeaba restablecer todos los tokens o contraseñas de los usuarios y notificar a los usuarios que una fuga exponía sus nombres y direcciones de correo electrónico. Hasta ahora, los funcionarios aún tienen que responder”.

En una declaración, el DX.Exchange atribuyó el error a “un error de token de autenticación”, pero dijo que el problema se resolvió antes de que pudiera ocurrir algún daño.

Daniel Skowronski, CEO de la bolsa, dijo en un comunicado que los fondos de los usuarios no estaban en riesgo, explicando:

“Nos complace informar que la vulnerabilidad se ha reparado con éxito y que no se comprometieron los fondos de los usuarios… Los fondos de los clientes siempre fueron seguros, nuestro mecanismo avanzado de monitoreo y defensa de múltiples capas pudo evitar cualquier problema adicional”.

La declaración continuó señalando que cualquier desarrollador que descubra errores en el futuro puede informarlos a la exchange directamente a través de un programa de recompensas de errores.

Si bien los problemas de seguridad con Dx.Exchange podrían ser simplemente problemas durante su “lanzamiento”, es importante que los usuarios de la exchange estén informados y tomen las respectivas precauciones. La exposición inicial en los medios financieros parecía una gran cosa para el intercambio, pero ahora podría convertirse en un pasivo ya que necesitan ejercer algunas limitaciones de daños.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.