Исследователь заявил о продаже эксплоита для обхода двухфакторной аутентификации Poloniex
Отсутствие вознаграждения и реакция более 60 дней вынудила эксперта продать данные об уязви мости на черном рынке.
Исследователь безопасностиразместилна Reddit сообщение о продаже данных об уязвимости в системе двухфакторной аутентификации Poloniex. По словам исследователя, на такой поступок ему пришлось пойти, поскольку многие исследователи, сообщавшие об уязвимостях в техподдержку Poloniex получали угрозы вместо вознаграждения за обнаруженную брешь. А еще, исследователь так и не получил ответ на свои тикеты относительно уязвимости в течение 60 дней.
Согласно описанию, уязвимость позволяет осуществить денежные транзакции без использования одноразовых паролей. Исследователю удалось снять деньги с чужого счета в обход двухфакторной аутентификации, а учетные данные для входа было получены из общедоступных баз данных.
О проблеме службы технической поддержки в Reddit начали писать многие пользователи, жалующиеся на тикеты без ответа в течение 75 дней.
Что касается реакции представителей Poloniex, они опровергли наличие какой-либо уязвимости в системе двухфакторной аутентификации биржи. Не зависимо от того, есть уязвимость или нет, если вы являетесь пользователем биржи Poloniex, настоятельно рекомендуем вам сменить учетные данные, поскольку для успешной эксплуатации все же требуется знать логин и пароль жертвы.