DX.Exchange lekt gevoelige data

Volgens een anonieme cryptocurrency-handelaar is het nieuwe handelsplatform DX.Exchange niet goed beveiligd en lekt het allerlei gevoelige en persoonlijke data van gebruikers, zo meldt Ars Technica op 9 januari.

DX.exchange, een nieuwe cryptocurrency-exchange waar Crypto Insiders al eerder over schreef, maakt handel in aandelen van bedrijven als Apple en Tesla mogelijk met behulp van digitale tokens. Dat betekent dat men ook in deze aandelen kan handelen wanneer de beurzen gesloten zijn.

De anonieme handelaar zou een dummy account hebben aangemaakt en gebruik hebben gemaakt van de developer tools in de Chrome internetbrowser om te zien waar de problemen zich bevinden.

Om toegang te krijgen tot een account op de website wordt er een authenticatie token verstuurd, maar het viel de handelaar op dat er erg veel extra data in zit, waaronder de authenticatie-tokens van andere gebruikers en links om wachtwoorden te resetten.

Ik heb ongeveer 100 tokens verzameld gedurende 30 minuten. Als je dit wilde criminaliseren, zou het super eenvoudig zijn.

Aldus de handelaar, die vroeg om niet te worden geïdentificeerd omdat hij vreesde dat de site juridische stappen tegen hem zou ondernemen. Tevens viel het op dat sommige van de gelekte tokens tot de werknemers van de website behoren. Zodanig zou men toegang tot de gehele website kunnen krijgen, haar databases en mogelijk zelfs geld kunnen overmaken uit gebruikersaccounts.

Ik kreeg tokens van de exchange zelf. Je kunt aan het e-mailadres van een account zien dat het een @coins.exchange is. Ik heb redelijk veel vertrouwen dat ik dit een dag lang kan doen en een admin token kan krijgen en alles kan krijgen.

Coins.Exchange is het domein dat door veel werknemers van DX.Exchange wordt gebruikt. Ondertussen zou de website een onderhoudsbeurt zijn ondergaan, maar dat lijkt het probleem nog niet te hebben verholpen.

De Exchange zegt dat het momenteel in een soft launch zit en niet zoveel aandacht had verwacht als dat het heeft ontvangen.