Какие есть отзывы про exchanger1.com?

Ghost

Местный житель
Сообщения
506
Какие есть отзывы про exchanger1.com? Просто из всех вариантов, обмена крипты на фиаты, этот обменник предлагает очень интересные курсы. Не кидала ли?
 

kuzakinsergej7

Новичок
Сообщения
1
Обменник не кидает, сам лично ним особо не пользовался, но знаю что этот обменник принадлежит obmenka.ua и smartwm.ru, а эти обменники довольно таки уже давно на рынке и пользователей не кидают. я с полной уверенностью могу сказать что выполнит свои обязательства перед клиентом
 
Последнее редактирование модератором:

melnik12

Местный житель
Сообщения
578
Делал обмен через него недели 2 назад, операции обмена конечно не особо быстрые, зато % хороший!
 

Баратрум

Проверенные
Сообщения
497
вроде работает честно, но комиссии там конечно зашкаливают... около 6% по крипте берут!!! +-
 

exchanger1

Новичок
Сообщения
3
Добрый день! я представитель данного обменника, Ребята, если у вас возникнут вопросы, обращайтесь. так же у нас работает поддержка круглосуточно, ответим на все ваши вопросы
 

Dayl

Новичок
Сообщения
2
exchanger1 небезопасен.
Я дал ребятам 30 дней на фикс моих находок.
Часть 1

Я говорю о безопасности пользователей в общем.
Я сотрудничал с ребятами из advcash и исследовал их инфраструктуру.
Часть полученного вознаграждения я вывел используя ваш обменник.
Мне стало забавно почитать о вашем проекте подробнее и я наткнулся на "https:// exchanger1.com /page/about" .
Пункт 4 вкладки "Безопасность работы с нами", говорит нам о защите любых данных пользователей. (Все это гарантирует сохранность любых данных пользователей на нашем сайте.)

Весьма громкое заявление !
Учитывая все факторы, я обнаружил весьма серьезную уязвимость в системе помощи пользователям.
Злоумышленник может получать доступ к тикетам и писать в них от имени администрации!
также можно просто закрыть тикет.
Неправильное разграничение привилегий может нести за собой большие последствия...


Часть 2

В результате исследования модуля помощи клиентам, также была найдена уязвимость в реализации api.
Злоумышленник может Деанонимизировать транзакции пользователя.
Рабочий пример:
Я перебрал транзакции пользователей по номеру тикета.
https:// pix.my /o/8a9Tvk?1513363007
Получился достаточно большой результат.
транзакция на обмен 300$ пренадлежит автору тикета N-320014. (
23:00 21.11.2017 )
По номеру тикета, api выдает нам информацию кодированную в Unicode.
Полученная транзакция в свою очередь содержит суммы переводов.

Пример расшифровки ответа api на транзакцию 320014:

{"error":false,"_content":{"#trx-status":"<h5>
<small>Статус:</small> Завершена</h5>
<div class="description">
<a href="/exchange/status/8661199">Заявка № 8 661 199</a>
</div>
<div class="exchange-error">
<div class="money-error">
<span class="first-currency">300,00</span>

<div class="image-wrapper">
<img class="currency_logo"
src="/bundles/x2face/images/currency/advcash.png"
height="27" width="27" alt="#">
</div>
<span class="money">USD</span>
</div>
<div class="money-error">
<span class="second-currency">7 800,00</span>

<div class="image-wrapper">
<img class="currency_logo"
src="/bundles/x2face/images/currency/visamaster.png"
height="24" width="24" alt="#">
</div>
<span class="money">UAH</span>
</div>
</div>
<div class="time-money">
<a class="btn small status" href="#" data-exec="jQuery(this).closest('form').trigger('submit');">Проверить статус</a>
</div>exchanger_pm"}}


Техническая и детальная информация:

1) для получения доступа к чужому тикету, злоумыщленнику достаточно заменить идентификатор.
Злоумышленник может от имени администрации попросить пользователя выслать ту или иную информацию.

2) для получения транзакции по id тикета, злоумышленику достаточно совершить GET запрос на:
https:// exchanger1.com /profile/tickets/history/{$ID}/status
позже декодировать полученную информацию.

Простой вектор атаки:
найти транзакцию и получить ее сумму.(используя баг в api)
Располагая этой информацией, попросить пользователя подтвердить свои документы.

Статистика:
Перебрав диапазон в 160 тикетов, я получил доступ к 31 транзакции.
 

exchanger1

Новичок
Сообщения
3
Добрый вечер, спасибо за тест нашего ресурса, однако перечисленные ваши методы совсем не работают. В тоже время мы будем признательны и готовы заплатить вознаграждение если вы поможете обнаружить нам уязвимости в работе нашего ресурса
 

Dayl

Новичок
Сообщения
2
Пообщавшись с поддержкой, я точно понял:
Эти люди не знают правил хорошего тона в Информационной безопасности.
Я более чем уверен, что exchanger1 . com это обычные жулики.

Я предоставил все доказательства.
Люди должны знать с кем имеют дела.
Под маской доброты скрывается обычный пофигизм.

Я полностью отказался от вознаграждения .

Я думаю, что обосновал свою позицию.
 
Последнее редактирование:

Alef

Проверенные
Сообщения
100
Любопытная темка, горячо тут) Как же я люблю, когда начинается холивар между официальными представителями и пользователями. Как говорится, ожидание vs реальность)
 

exchanger1

Новичок
Сообщения
3
Добрый день уважаемые пользователи,

Данная уязвимость не является уязвимостью, и повторить её как мы так и человек который её нашёл, тоже не смог, не можем ручаться за то что это была правда. За настоящие уязвимости, мы готовы платить!
 

NumeroUno

Проверенные
Сообщения
158
Вот так взяли и испортили репутацию начинающему обменнику. А он, может быть, очень даже неплохо работает.
 
Сверху Снизу