Биржа Poloniex опровергла обвинения в серьезных проблемах с безопасностью
Администрация биржи Poloniex опубликовала на сайте Reddit публичное заявление, касающееся информации о проблемах с безопасностью.
Как говорится в заявлении, на протяжении последнего времени администрация биржи получила от пользователей ряд сообщений о том, что ими был обнаружен целый перечень уязвимостей. Каждое из этих обращений было внимательно изучено и, как оказалось, некоторые из них были ложными. В тех же случаях, когда проблемы действительно обнаруживались, команда Poloniex оперативно устраняла их, а сообщившие об этом пользователи получали свое заслуженное вознаграждение.
Одновременно с этим администрация биржи отметила, что сообщения о подобных «находках», опубликованные на публичных ресурсах, негативно влияют на репутацию Poloniex, поэтому было опубликовано открытое обращение к пользователям.
Представители биржи разъяснили следующие вопросы:
В начале 2014 года Poloniex действительно испытывала проблемы с уязвимостью, что привело к эксплойту. Однако система была тщательно проанализирована, а проблема устранена.
Любой человек, знакомый с работой веб-сервисов, знает, что многопоточность как таковая не является уязвимостью. Более того, она необходима для единовременной обработки большого количества запросов. К слову, трейдинговый движок биржи даже в спокойные дни обрабатывает до 300 транзакций в секунду.
Использование метода коммуникации POST. Команда Poloniex считает, что использование POST является оптимальным выбором и применяют его для передачи информации с ограниченным доступом. В будущем планируется перевести на POST больше запросов, но при этом GET не является изначально опасным, а POST — изначально безопасным.
Также был обнаружен баг, используя который можно было модифицировать URL и заставить клиента перейти при клике на другой домен. После его обнаружения заявителю было выплачено вознаграждение, а проблема немедленно устранена.
Также пользователем было обнаружено, что, используя код сервиса, находящийся в открытом доступе, можно было незаконным путем получить права модератора чата. Poloniex считает, что обнаружение этой проблемы заслуживает вознаграждения, однако пользователь предпочел не сообщать о ней администрации, а поделиться своей находкой со всеми желающими на Trollbox. По этой причине он был забанен, а ошибка устранена в течение нескольких минут.
«Мы призываем всех задуматься над тем, какие цели преследуют люди, распространяющие такие новости, и можно ли доверять составленным ими «обзорам безопасности». Poloniex считает, что факты подобной дискредитации компании должны быть освещены как можно шире и надеется, что никто из пользователей не захочет привлечь к себе внимание таким дешевым способом, как публикация документа Word с логотипом и названием «Проверка безопасности»», — говорится в заявлении.
Ранее пользователи Reddit сообщили что неизвестные “угнали” домен blockchain.info. Как сообщалось, доменное имя сайта было “угнано” и вместо Name-серверов CloudFlare, указывало NS дешевого хостинга. Немногим позже администрация blockchain.info подтвердила эту информацию, а последствия атаки на DNS-провайдера были устранены.
Источник