На сайте Хабрхабр пользователь под ником w9w рассказал, как ему удалось найти слабые места в безопасности сайтов, связанных с криптовалютой. В пункте «о себе» он указал «исследователь безопасности».
Хакер объяснил, что в конце весны он приобрел доступ к инсайдам «одного инвестиционного клуба» (его название не указано), где узнал о том, что можно отдавать биткойны трейдерам под 15% в месяц. Это стало причиной почему w9w начал исследование с сайтов, которые занимаются доверительным управлением.
Первую компанию (чьи веб-сайты запретили разглашать), по словам тестировщика, очень популярную и известную многим инвесторам, удалось взломать благодаря скрипту сниффера, которая отправляет логи (исходный код, ip администратора, local storage и др.) хакеру. Он обнаружил, что панель администратора можно использовать без авторизации. Таким образом, хакер мог просматривать и редактировать информацию (email, телефон, ссылки на соц сети, кошелёк для вывода bitcoin, логин, баланс, реферер) о 2010 пользователях. w9w сообщил об этом разработчикам сайта, за что ему предложили награду.
w9w подробно рассказывает о том, как ему удалось найти уязвимости и на других сайтах, некоторые из которых он называет, например, биржи livecoin.net и okex.com. Помимо этого, он прилагает большое количество фото-доказательств, например, отсканированные паспорта, а также части программного кода.
Также w9w пообещал, если разрешат администраторы Хабрхабра, опубликовать информацию об уязвимостях Gearbest и Webmoney.
фото: Michael Podger / Unsplash,