Hechos clave:
-
El error hacía público un token que asegura parte de la información registrada en la plataforma.
-
Según el CEO de la empresa, Daniel Skowronski, la plataforma tiene alrededor de 600.000 usuarios.
La casa de cambio DX.Exchange, lanzada el lunes pasado, presentó una importante falla en su plataforma, la cual permitía a un atacante obtener un token de seguridad para acceder a información sensible de los usuarios de la plataforma. Un trader, que prefirió mantener el anonimato, fue quien reportó la anomalía, que ya ha sido resuelta, según la empresa.
La casa de cambio, que inició operaciones el 7 de enero pasado, es mercadeada como un puente entre las criptomonedas y las acciones de importantes compañías, ya que se pueden obtener, además de criptomonedas, versiones tokenizadas de acciones de empresas como Apple, Tesla o Facebook, entre otras.
La información sobre la vulnerabilidad fue publicada en la revista de seguridad e informática Ars Technica, este 9 de enero, con el testimonio directo del trader «amistoso», como lo calificó la empresa horas más tarde.
La falla
La casa de cambio envió información extra al navegador de este trader -y de cualquier usuario que se conectara a la plataforma-, según reportó Ars Technica. El sujeto se percató que entre los datos recibidos en su buscador estarían estos tokens de autenticación para acceder a los datos de los usuarios. Ars informó de la falla el martes por la tarde.
El surgimiento de esta casa de cambio, oriunda de Estonia, fue resaltada en algunos medios por el hecho de que permite a los inversionistas comprar acciones de las empresas populares que cotizan en Nasdaq, como Apple, Tesla, Facebook o Netflix, esto utilizando tokens-valores. Sin embargo, hay posiciones más escépticas que despiertan algunas dudas sobre la misma.
Cada acción tokenizada está respaldada por una acción de los comerciantes de la empresa que desean invertir y les da derecho a los mismos dividendos en efectivo. El token consiste en una serie de caracteres, y debería ser de manejo confidencial en la plataforma. El token permite ver los nombres completos y las direcciones de correo electrónico de los usuarios de DX.Exchange a los que pertenecen.
Incluso alguien con un perfil de acceso limitado en la plataforma podría haber utilizado su cuenta para obtener acceso no autorizado a otra cuenta, asegura Ars Technica, siempre que el usuario se mantenga en línea y no haya cerrado la sesión de manera manual.
El token es fácilmente desencriptable, al haber sido creado JSON, que es un formato ligero para almacenar y transportar datos. “Tengo alrededor de 100 tokens recolectados en más de 30 minutos. Si quisieras criminalizar esto, sería muy fácil”, explicó el trader anónimo a Ars Technica.
La respuesta de DX.Exchange
El CEO de la empresa, Daniel Skowronski aseguró a través de su cuenta en la red social Twitter, este jueves, que el error había sido encontrado y solventado, además, de saludar tanto al trader que encontró el error como a los responsables de Ars Technica por la forma en la que abordaron el error e informaron a DX.Exchange.
My thoughts on the security bug on DX today. pic.twitter.com/rzxd37oWJi
— Daniel Skowronski (@danskowronski) 10 de enero de 2019
El bug de seguridad fue encontrado por un trader, un trader amistoso, no un hacker, quien lo reportó a un reportero de noticias. Quiero agradecerle a ambos, porque sin su ayuda, hubiese sido muy difícil haber encontrado este error de seguridad. Tomamos toda la responsabilidad e inmediatamente buscamos y arreglamos el error.
Daniel Skowronski
CEO
Dx.Exchange
Por otro lado, Skowronski informó que la empresa contrató a la firma de ciberseguridad Integrity, calificada por Skowronski com “una de las más potentes firmas de ciberseguridad” del mundo a fin de elevar sus estándares en la materia, para prevenir el surgimiento de otros errores como este.
CriptoNoticias intentó contactar a Daniel Skowronski pero no recibió respuesta.
Imagen destacada por Kheng Guan Toh / stock.adobe.com
