Amaran Keselamatan: Data Pengguna, Token Login didedahkan dari DX.Exchange
DX.Exchange, platform perdagangan yang beroperasi di Estonia, yang dilaporkan akan membolehkan pengguna membeli saham Apple, Facebook dan Tesla dari mana-mana di dunia, mungkin mempunyai kelemahan keselamatan yang serius – yang boleh menjejaskan jumlah besar data pengguna.
Laman web DX.Exchange mengumpul data kewangan dan peribadi yang sensitif dari penggunanya, untuk menawarkan perkhidmatan perdagangan. Menurut Ars Technica, seorang pedagang mencipta “dummy account” untuk menguji sama ada platform DX.Exchange selamat atau tidak.
Pedagang itu menyatakan bahawa apabila dia menghantar permohonan perdagangan kepada DX.Exchange daripada browser, mesej yang diterima termasuk “satu barisan angka dan huruf yang panjang” (dipanggil “authentication token”). Token itu umpama passphrase rahsia yang diperlukan laman web tersebut sebelum membolehkan pengguna akses akaun mereka. Namun begitu, pengguna tersebut mendedahkan bahawa DX.Exchange telah menghantar balasan kepada permintaan yang juga termasuk bermacam-macam data sensitif.
Selepas memeriksa semua data yang dihantar DX.Exchange, pengguna itu menjumpai bahawa platform tersebut telah berkongsi authentication token pengguna lain dan juga link untuk passwork reset.
Pengguna tersebut yang tidak mahu dikenali atas sebab keselamatan memberitahu Ars Technica: “Saya ada lebih kurang 100 token terkumpul dalam masa 30 minit. Jika anda mahu menjadikan ianya jenayah, ia sangat mudah.”
Token yang dihantar oleh server DX.Exchange telah diformat mengikut standard token web JSON. Pengguna itu juga mendedahkan bahawa ia tidak mustahil untuk mendapat akses nama penuh dan alamat emel pengguna DX.Exchange dengan hanya memasukkan token tadi ke dalam platform tersebut.
Untuk menguji sama ada laman web DX.Exchange melindungi maklumat pengguna, pedagang tadi mengaktifkan alat developer di browser Google Chrome. Dia menjumpai bahawa sesiapa yang mempunyai token pengguna itu boleh akses akaun itu. Walaupun pengguna itu log out, penyerang masih boleh akses akaun mereka menggunakan “site programming interface”, terang pedagang itu lagi.
Selain daripada mendapat akses kepada maklumat pengguna yang lain, laman web DX.Exchange juga dilaporkan boleh dieksploit untuk mendapatkan token milik pekerja syarikat itu. Jika penyerang mendapat akses kepada akaun pekerja (menggunakan token) yang mempunyai kuasa pentadbiran, tidak mustahil dia boleh muat turun kesemua database pengguna.
Selepas support team DX.Exchange diberitahu oleh Ars Technica tentang masalah ini, developer syarikat itu telah membetulkan isu-isu tersebut. Menurut Ars:
“Bug itu telah ditemui dengan cepat sebaik sahaja kami mendapat…maklum balas profesional. DX masih lagi di soft launch, di mana kami mendapat liputan meluas yang tidak dijangka dari media seluruh dunia. Disebabkan kemasukan baru yang banyak dalam platform kami, kami telah temui beberapa bug dan kebanyakkan telah dibetulkan, selbihnya masih dalam pemeriksaan kini. Kami yakin kami akan dapat membetulkannya dan menyempurnakan pelancaran kami dalam masa yang singkat.”
Sumber:
===
Jika anda mahu berdiskusi dan bertanya tentang bitcoin, matawang kripto (cryptocurrency) dan teknologi blockchain di Malaysia. Anda dijemput bersama-sama komuniti Bitcoin Malaya di FB dan @CoinDotMy di Telegram.
