Hechos clave:
-
El error hacĆa pĆŗblico un token que asegura parte de la informaciĆ³n registrada en la plataforma.
-
SegĆŗn el CEO de la empresa, Daniel Skowronski, la plataforma tiene alrededor de 600.000 usuarios.
La casa de cambio DX.Exchange, lanzada el lunes pasado, presentĆ³ una importante falla en su plataforma, la cual permitĆa a un atacante obtener un token de seguridad para acceder a informaciĆ³n sensible de los usuarios de la plataforma. Un trader, que prefiriĆ³ mantener el anonimato, fue quien reportĆ³ la anomalĆa, que ya ha sido resuelta, segĆŗn la empresa.
La casa de cambio, que iniciĆ³ operaciones el 7 de enero pasado, es mercadeada como un puente entre las criptomonedas y las acciones de importantes compaƱĆas, ya que se pueden obtener, ademĆ”s de criptomonedas, versiones tokenizadas de acciones de empresas como Apple, Tesla o Facebook, entre otras.
La informaciĆ³n sobre la vulnerabilidad fue publicada en la revista de seguridad e informĆ”tica Ars Technica, este 9 de enero, con el testimonio directo del trader Ā«amistosoĀ», como lo calificĆ³ la empresa horas mĆ”s tarde.
La falla
La casa de cambio enviĆ³ informaciĆ³n extra al navegador de este trader -y de cualquier usuario que se conectara a la plataforma-, segĆŗn reportĆ³ Ars Technica. El sujeto se percatĆ³ que entre los datos recibidos en su buscador estarĆan estos tokens de autenticaciĆ³n para acceder a los datos de los usuarios. Ars informĆ³ de la falla el martes por la tarde.
El surgimiento de esta casa de cambio, oriunda de Estonia, fue resaltada en algunos medios por el hecho de que permite a los inversionistas comprar acciones de las empresas populares que cotizan en Nasdaq, como Apple, Tesla, Facebook o Netflix, esto utilizando tokens-valores.Ā Sin embargo, hay posiciones mĆ”s escĆ©pticas que despiertan algunas dudas sobre la misma.
Cada acciĆ³n tokenizada estĆ” respaldada por una acciĆ³n de los comerciantes de la empresa que desean invertir y les da derecho a los mismos dividendos en efectivo. El token consiste en una serie de caracteres, y deberĆa ser de manejo confidencial en la plataforma. El token permite ver los nombres completos y las direcciones de correo electrĆ³nico de los usuarios de DX.Exchange a los que pertenecen.
Incluso alguien con un perfil de acceso limitado en la plataforma podrĆa haber utilizado su cuenta para obtener acceso no autorizado a otra cuenta, asegura Ars Technica, siempre que el usuario se mantenga en lĆnea y no haya cerrado la sesiĆ³n de manera manual.
El token es fĆ”cilmente desencriptable, al haber sido creado JSON, que es un formato ligero para almacenar y transportar datos. āTengo alrededor de 100 tokens recolectados en mĆ”s de 30 minutos. Si quisieras criminalizar esto, serĆa muy fĆ”cilā, explicĆ³ el trader anĆ³nimo a Ars Technica.
La respuesta de DX.Exchange
El CEO de la empresa, Daniel Skowronski asegurĆ³ a travĆ©s de su cuenta en la red social Twitter, este jueves, que el error habĆa sido encontrado y solventado, ademĆ”s, de saludar tanto al trader que encontrĆ³ el error como a los responsables de Ars Technica por la forma en la que abordaron el error e informaron a DX.Exchange.
My thoughts on the security bug on DX today. pic.twitter.com/rzxd37oWJi
ā Daniel Skowronski (@danskowronski) 10 de enero de 2019
El bug de seguridad fue encontrado por un trader, un trader amistoso, no un hacker, quien lo reportĆ³ a un reportero de noticias. Quiero agradecerle a ambos, porque sin su ayuda, hubiese sido muy difĆcil haber encontrado este error de seguridad. Tomamos toda la responsabilidad e inmediatamente buscamos y arreglamos el error.
Daniel Skowronski
CEO
Dx.Exchange
Por otro lado, Skowronski informĆ³ que la empresa contratĆ³ a la firma de ciberseguridad Integrity, calificada por Skowronski com āuna de las mĆ”s potentes firmas de ciberseguridadā del mundo a fin de elevar sus estĆ”ndares en la materia, para prevenir el surgimiento de otros errores como este.
CriptoNoticias intentĆ³ contactar a Daniel Skowronski pero no recibiĆ³ respuesta.
Imagen destacada porĀ Kheng Guan TohĀ / stock.adobe.com