Especialistas em segurança revelam vulnerabilidade séria na plataforma TradingView

0


O TradingView é uma ferramenta que oferece cotações em tempo real, gráficos gratuitos e ofertas de negociação publicadas pelos membros da plataforma. Além de ser uma rede social para traders e investidores, pode trabalhar no mercado via TradingView usando APIs. No mundo dos traders criptoativos, TradingView é uma plataforma bem conhecida.

Isto reforça a seriedade da recente descoberta feita por especialistas aCCESS Security Lab . Uma vulnerabilidade em uma plataforma descoberta por um especialista em segurança conhecido como "5ub50l0", que foi posteriormente associada a outros participantes, pode ser usada para "roubar" contas de usuários da plataforma.

A CryptoFacil conversou com o consultor de segurança Leandro Trindade,

Para quem não conhece o TradingView, a plataforma oferece várias “ideias” na home page que são ofertas de traders e investidores em relação a um ativo em particular. e você pode seguir. De acordo com a Trinity, foi possível injetar código no erro XSS que estava presente ao criar a “ideia”, que levou ao roubo das sessões daqueles que transferiram essas ideias para seus computadores.

Nem era necessário clicar nessa ideia, era necessário apenas que ela fosse carregada pelo navegador do usuário.

Trindade indica que a falha já estava presente na plataforma, sem causar isso. Em suma, isso significava que não era necessário criar um link no qual o usuário deveria clicar – ele só precisaria “olhar”. Tendo introduzido um código malicioso para a ideia, ele começará a receber cookies de usuário.

“Verificamos algo simples para que o balão de mensagens parecesse ao usuário. Quando vimos que o teste foi bem-sucedido, entendemos que essa falha pode ser usada para roubar contas ”, diz o especialista.

O ataque XSS Injection (abreviação de Cross-site Scripting) ocorre quando uma pessoa usa um aplicativo para enviar código mal-intencionado (por meio de um script) ao navegador do usuário.

Ele então esclarece:

"Quando uma pessoa olha para uma idéia, ele executa o script."

A imagem abaixo, fornecida por um consultor de segurança, mostra onde a lacuna estava no momento em que a “ideia” foi criada. Neste caso, colocamos algo inócuo para fazer, apenas uma caixa de mensagem, confirmando que podemos incorporá-lo no navegador do cliente. "

O resultado do teste é ilustrado na imagem abaixo fornecida pela Trinity:

Trinity mostra que a vulnerabilidade do XSS Injection resulta da distração humana durante a programação. Foi usada recentemente por hackers e até mesmo foi detectada por hackers

O TradingView corrigiu a vulnerabilidade em menos de três semanas, desde que a plataforma foi notificada por especialistas em 21 de maio e o grupo recebeu uma recompensa de US $ 400. Segundo a Trinity, este é um período razoável para corrigir a vulnerabilidade th tamanho.

Bitstamp começa investigação após a ordem gigante para a venda em sua plataforma

Deixe uma resposta

Seu endereço de email não será publicado.