Terzi avrebbero potuto creare bozze false o modificare articoli
CoinDesk ha risolto un exploit che consentiva a chiunque di visualizzare titoli non pubblicati, creare bozze e modificare articoli sul sito web. In un post, la società afferma che la vulnerabilità avrebbe potuto consentire ad “attori non identificati” di visualizzare informazioni non pubbliche, consentendo loro di prendere decisioni commerciali da cui avrebbero potuto trarre profitto.
“L’exploit, portato all’attenzione di CoinDesk da un hacker white-hat, potrebbe aver consentito ad attori non identificati di trarre profitto da informazioni non pubbliche, effettuando scambi prima della pubblicazione di almeno un articolo”, scrive Kevin Worth, chief content officer di CoinDesk. “Il problema ora è stato risolto e sono state messe in atto ulteriori misure di salvaguardia”.
Mentre CoinDesk afferma che la falla nella sicurezza ha esposto titoli inediti, l’utente Twitter che inizialmente ha portato l’exploit all’attenzione illustra come il problema vada molto più in profondità. I cattivi attori hanno trovato un modo per manipolare l’interfaccia di programmazione dell’applicazione (API) che CoinDesk utilizza per pubblicare i contenuti.
Ogni volta che l’API riceveva una richiesta errata, restituiva uno stack di errori (o un lungo messaggio di errore), che essenzialmente conteneva i mezzi per consentire a qualcuno di accedere al sistema di pubblicazione back-end del sito. Di conseguenza, gli utenti avevano la possibilità di apportare modifiche agli articoli esistenti, aggiungere bozze false e, naturalmente, dare un’occhiata in anticipo alle informazioni che avrebbero potuto dare loro un vantaggio commerciale.
Questo tipo di insider trading non è raro: in passato, gli hacker hanno attinto a siti di notizie come BusinessWire, ottenendo un accesso anticipato a comunicati stampa e altre informazioni che hanno il potere di ribaltare il mercato azionario.
