DX.Exchange, una plataforma de comercialización de criptomonedas con sede en Estonia, ha informado la corrección de graves vulnerabilidades que permitieron la filtración de la información confidencial de sus usuarios. Ars Technica, un sitio web de noticias sobre tecnología, ha publicado un artículo extenso sobre la falla de seguridad suscitada este 9 de enero en el intercambio.
Hace unos días, un entusiasta de la industria comenzó a indagar sobre DX.Exchange, a fin de decidir si usar o no la plataforma. Por esta razón, creó una cuenta de usuario ficticia y activó las herramientas de desarrollador en Google Chrome para obtener de una mayor visibilidad. Este ha preferido mantener su identidad anónima por posibles problemas legales.
Cuando el navegador del comerciante envió la solicitud a DX.Exchange, se mostró una cadena de caracteres “extremadamente larga”, que se conoce como token de autenticación. Este se supone que es un secreto que solicita el sitio para que un usuario acceda a su cuenta. Sin embargo, la plataforma enviaba respuestas que incluían una gran cantidad de información extraña que, al ser examinada por el individuo, resultó ser información confidencial, como tokens de autenticación y enlaces de restablecimiento de contraseña otros usuarios.
El individuo comentó a Ars Technica lo siguiente:
“He recolectado alrededor de 100 tokens [de autenticación] durante 30 minutos, […] si quisieras criminalizar esto, sería muy fácil”.
A lo que agregó:
“Recibí fichas del intercambio en sí. Puede ver en la dirección de correo electrónico de la cuenta que es @ coins.exchange. Tengo bastante confianza en que podría hacer esto por un día y obtener un token administrativo y tenerlo todo”.
Posteriormente, Ars Technica también decidió indagar y encontró que los comentarios dados por el comerciante eran totalmente ciertos.
Ante dichas acusaciones, un funcionario de DX.Exchange se ha manifestado, asegurando que “el error se identificó de inmediato y se eliminó en el minuto [en que] recibimos los comentarios de Ars Technica [sic] profesional”.
Agregó que la plataforma se encuentra en un Soft Launch, y que debido al gran interés que hay en la misma, han descubierto algunos errores, afirmando que la mayoría están resueltos, y que otros están siendo examinados. Finalmente, agregó que se encuentran seguros de solucionarlos para poder llevar a cabo su lanzamiento oficial.
