DX.Exhange je Estonská směnárna, která se dostala do povědomí všech lidí kolem blockchainové technologie minulý týden. Povedlo se jí totiž jako první vydat ztokenizované akcie velkých firem, jako je Facebook, Google a Tesla. Několik dní poté se DX.Exchange opět stává cílem informačních webů po celém světě. Čelí totiž obrovskému úniku dat.
Tipy kde koupit kryptoměny: Kde a jak nakoupit spolehlivě kryptoměny
Uživatelé sociální sítě Twitter se do myšlenky nákupu zdigitalizovaných akcií Amazonu, Apple a Tesly zamilovali.
DX. Exchange goes live today and will support Bitcoin (BTC), Ethereum (ETH), XRP, Cardano (ADA), OmiseGo (OMG), Enigma, ShareToken, and Digibyte.
The new platform gives traders a 24-hour seven days a week access to the traditional stock market.The beginning of the beginning
— Phillip Nunn 🚀 (@PhillipNunnUK) January 7, 2019
Nicméně skepticismus nemusel dlouho čekat na velký podnět – uživatelé našli ve směnárně bezpečnostní díru, která umožňovala ukrást data investorů.
Únik dat
Zpráva webu Ars Technica, která vyšla 10. ledna hovoří o tom, že známá směnárna má bezpečnostní díru, která umožňuje krádež “kvant přihlašovacích údajů” a uživatelských informací z počítačů, které se na platformu připojí. První se zprávou o potenciální bezpečnostní díře přišel anonymní white hacker, který studoval bezpečnost celé sítě.
White hacker vytvořil falešný účet, kterým analyzoval datové toky mezi uživatelem a servery směnárny. K jeho zděšení zjistil, že DX.Exchange vložené citlivé údaje ukládá to “ověřovacích tokenů”, což je dlouhý řetězec alfanumerických znaků, které potvrzují přenos dat na server. Z toho vyplývá, že data byly uloženy na mizerně zabezpečeném tokenu, což mohlo vést hackery k ukradení dat tisíců uživatelů.
White hacker dále dodává:
“Sesbíral jsem kolem stovky tokenů za 30 minut. Pokud by to chtěl někdo kriminalizovat, bylo by to extrémně jednoduché”
Mohlo by vás zajímat: Bakkt financuje 23. nejbohatší muž světa
Z technického hlediska podléhá řetězec znaků jazyce JSON Web Tokens, což umožňuje serverům jednoduchý přístup k datům a jejich následnou validaci. Například může server dostat zprávu “přihlášen jako administrátor.” Tu následně ověří skrze token a výsledek bleskově odešle zpátky uživateli.
Každý, kdo má vytvořený token službou DX.Exchange může použít informace k získání přístupu do postižených účtů. Ty je možné napadnout, pokud se uživatel manuálně ze směnárny neodhlásí. Zde ale problémy nekončí. White hacker objevil i permantní zadní vrátka, kterými se dají informace vytáhnou pomocí rozhrání API, takže účty jsou přístupné i poté, co se uživatel ručně odhlásí.
Samozřejmě, k největší katastrofě by došlo, kdyby se hackerům podařilo takto vytáhnout informace zaměstnanců směnárny nebo dokonce přihlašovací údaje k administrátorskému účtu. Takový přístup by hackerům umožnil stáhnout celou databázi z privátních serverů, nainstalovat malware nebo dokonce vyprázdnit peněženky postižených uživatelů.
Ars Technica potvrdila, že o chybě informovala DX.Exchange. To mělo za důsledek, že celá platforma byla na několik hodin uzavřená. Tým směnárny potvrdil, že o chybě ví a pracuje na jejím odstranění.
Mohlo by vás zajímat: Nano X: bezpečnostní problémy v nové Ledger Bluetooth peněžence
Tým DX.Exchange napsal:
“Chyba byla okamžitě identifikována a potlačena v minutě, kdy jsme dostali technickou analýzu od Ars Technica. Díky obrovskému přílivu nových uživatelů jsme na platformě našli několik chyb, z niž většinu jsme okamžitě napravili. Některé prochází nápravou právě teď. Věříme, že je všechny brzy vyřešíme a dokončíme start celé platformy v co nejkratší době.”
Je nutností dodat, že na směnárnu, která dostala tolik podpory od mainstreamových médií se ztrhla vlna oprávněné kritiky. Směnárna nedokázala nabídnout ani základní bezpečnost pro své zákazníky. Někteří celou záležitost přirovnávají ke kryptoměnám. Tvrdí, že nejsou dostatečně bezpečné, je kolem nich zbytečně moc ruchu a jsou nástrojem různých podvodníků a zločinců.
Mohlo by vás zajímat: Ethereum Classic: Bezpečnostní firma hledá útočníka
