Kritische Schwachstelle auf DX.Exchange entdeckt und behoben

Die Kryptowährungs- und tokenisierte Aktien-Börse DX.Exchange aus Estland hat Berichten zufolge eine kritische Schwachstelle behoben, durch die sensible Benutzerdaten durchsickerten.

Die Technologie-Nachrichten-Webseite Ars Technica berichtete über diese Sicherheitsschwachstelle am 9. Januar und zitierte dabei einen anonymen Händler, der eine Sicherheitsanalyse bei DX.Exchange durchführte.

Laut dem Artikel von Ars Technica stellte ein Händler, der aus rechtlichen Gründen anonym bleiben wollte, fest, dass die Börse sensible Daten anderer Nutzer an seinen Browser schickte. Nach der Überprüfung der Daten hat der Händler Berichten zufolge festgestellt, dass die Daten die Authentifizierungs-Token anderer Benutzer und Links zum Zurücksetzen der Passwörter enthielten:

"Ich habe etwa 100 gesammelte Authentifizierungs-Token über 30 Minuten, [...] würde man das für kriminelle Zwecke verwenden wollen, wäre das total einfach."

Die Authentifizierungs-Token wurden Berichten zufolge im JSON Web-Token-Standard formatiert und konnten mit Hilfe von Online-Tools leicht dekodiert werden. Damit konnte man vollständige Namen und E-Mail-Adressen der Benutzer der Börse erhalten.

Laut Ars Technica hat der Trader erklärt, dass die Token Zugang zu den zugehörigen Konten ermöglichen könnten, wenn der Benutzer sich nicht manuell abgemeldet hat, nachdem der Token durchgesickert ist.

Berichten zufolge hat der Trader auch einen Weg gefunden, ein Konto mittels einer Hintertür dauerhaft zugängig zu machen, indem er die Programmierschnittstelle der Plattform verwendet hat, die ihm auch nach der Abmeldung eines Benutzers Zugriff gewähren würde.

Darüber hinaus berichtete Ars Technica, dass ein Teil der von der Plattform durchgesickerten Zugangsdaten den Mitarbeitern der Webseite gehört. Im Artikel wird erklärt, wie schwerwiegend das Problem ist:

"Wenn ein solcher Token unbefugten Zugriff auf ein Konto mit Administratorrechten gewährt, kann der Hacker möglicherweise ganze Datenbanken herunterladen, die Webseite mit Schadsoftware infizieren und möglicherweise sogar Geld von Benutzerkonten auf ein eigenes überweisen."

Ars Technica selbst hat Berichten zufolge die vom Händler entdeckten Schwachstellen überprüft und bestätigt. Damit konnte sich die Nachrichtenplattform über die öffentlich zugängliche Programmierschnittstelle eine große Anzahl von Authentifizierungs-Token verschaffen.

Ars Technica kontaktierte DX.Exchange und laut dem Artikel wurde die Schwachstelle nun behoben.

Als Reaktion auf eine Anfrage nach einem Kommentar von Cointelegraph hat DX.Exchange behauptet, dass die Schwachstelle erfolgreich gepatcht worden sei und die Gelder der Kunden absolut sicher seien. Der CEO der Börse Daniel Skowronski kommentierte:

"Wir freuen uns, Ihnen mitteilen zu können, dass die Schwachstelle erfolgreich gepatcht wurde und die Gelder der Benutzer nicht gefährdet wurden."

Wie Cointelegraph am 3. Januar berichtete, nutzt DX.Exchange das Financial Information Exchange (FIX)-Protokoll von Nasdaq und ermöglicht ihren Nutzern, mit tokenisierten Aktien von großen Unternehmen, wie etwa Google, Facebook und Amazon, zu handeln.