エストニアに拠点を置く仮想通貨取引所DXエクスチェンジで、ユーザーデータを漏洩させる重大なセキュリティ上の脆弱性が見つかった。DXエクスチェンジは既にこの脆弱性を修正したと発表した。

テック系ニュースサイトのArs Technicaは1月9日にDXエクスチェンジのセキュリティ問題を報じた。記事の中では、ある匿名のトレーダーがDXエクスチェンジのセキュリティ分析を試みた結果を伝えている。

Ars Technicaの記事によれば、このトレーダーがクロームのディベロッパーツールでリクエストを送ると、他のユーザーのデータが出てくることに気づいた。トレーダーがデータを分析すると、その中にはユーザーの認証トークンとパスワードリセットリンクを含む様々なデータが含まれていた。

「30分かけて収集した〔認証〕トークンは約100個だ。これを犯罪に使いたいならば、それは非常に簡単だ」

認証トークンは、ユーザーが自分のアカウントにアクセスするときに必要になるものだ。この認証トークンはJSON Webトークン標準でフォーマットされているという。オンラインツールを使用して簡単に解読でき、ユーザーのフルネームや電子メールアドレスを取得できる

脆弱性を発見したトレーダーは、トークンが漏洩した後にユーザーが主導でログアウトしない限り、トークンは関連するアカウントへのアクセスを許可できると説明している。

このトレーダーはまた、プラットフォームのプログラミングインターフェイスを使用し、アカウントにバックドアを設ける方法を見つけた。この場合なら、ユーザーがログアウトした後でもアクセスが可能だという。

さらに、Ars Technicaは、プラットフォームから漏洩したログインデータの一部は従業員のものも含まれていたと書いている。

「このようなトークンが管理者権限を持つアカウントへの不正アクセスを許可した場合、ハッカーはデータべ―ス全体をダウンロードし、サイトにマルウェアを埋め込み、さらに場合によってはユーザーアカウントから資金を移動することさえできてしまう」

Ars Technica自身も、匿名トレーダーが発見した脆弱性の存在を確認。一般で利用可能なプログラミングインターフェイスを通じて、多数の認証トークンが入手できる状態であった。

Ars TechnicaはDXエクスチェンジにコンタクトを取り、その結果、DXエクスチェンジが脆弱性の修正を行った。

コインテレグラフがDXエクスチェンジに確認したところによれば、DXエクスチェンジはこの脆弱性に対して修正パッチを適用し、顧客の資産は完全に安全であると主張している。DXエクスチェンジのダニエル・スコロンスキCEOは次のようにコメントしている。

「この脆弱性の修正に成功し、ユーザーの資金が危険にさらされていないことを報告いたします」

DXエクスチェンジは、ナスダックのFinancial Information Exchange(FIX)プロトコルを利用し、アップルやグーグル、フェイスブックなど大手企業の証券をトークン化して取引するサービスを提供する

関連記事:

アップルやフェイスブック株をトークン化して発行 仮想通貨取引所DXエクスチェンジが来週取引開始