Трейдер заметил, что биржа отправляет конфиденциальные данные прочих пользователей на их браузеры. Изучив эти данные, трейдер обнаружил в них токены аутентификации других пользователей, а также ссылки для сброса паролей. Так, по его словам, он «собрал примерно 100 токенов аутентификации за 30 мин.».
Сообщается также, что токены аутентификации были отформатированы в стандарте веб-токенов JSON, что позволяет легко расшифровать их при помощи online-инструментов, получая в итоге полные имена и email пользователей DX.Exchange.
Трейдер также объяснил, как при помощи такого токена можно получить доступ к связанному аккаунту или даже навсегда заблокировать его.Читайте также: Жертвами крипто-фишинга в 2023 году стали 324 тысячи пользователей