Binance passou meses com dados confidenciais expostos no GitHub

A Binance passou meses com informações técnicas estruturais dos seus sistemas eletrônicos expostas na internet. A informação veio à tona em reportagem do portal 404, que mostrou que os dados estavam em um repositório de códigos do GitHub, plataforma mais usada por programadores para publicação e produção de códigos.

O episódio veio à tona após a publicação pelo GitHub do pedido da Binance para que os arquivos de um usuário da plataforma fossem retirados do ar. O motivo era justamente que informações sensíveis sobre a empresa e seus clientes estavam expostas.

No pedido, a Binance afirma que o repositório denunciado estaria utilizando, sem autorização, o código interno da empresa. A ação foi justificada pela Binance devido ao “risco significativo” que o repositório representa para a plataforma e seus usuários, podendo causar “danos financeiros severos e confusão/prejuízo para os usuários”.

Na semana passada o GitHub tirou do ar os arquivos que a Binance pediu, mas a reportagem do 404 confirmou que os dados passaram meses disponíveis para qualquer um que acessasse.

Apesar do tom forte que usou no pedido de remoção, a corretora disse em um primeiro momento que os dados vazados representavam “‘um risco insignificante para a segurança dos nossos usuários, seus ativos ou nossa plataforma”.

Depois, ao CoinTelegraph, a Binance disse que as informações eram de sistemas antigos e que não teriam nenhuma utilidade prática mesmo que caíssem nas mãos de um agente malicioso.

ETFs de Ethereum já estão sendo negociados, então por que o preço não subiu?

Decrypt
25 jul, 2024 17:58

- Criptomoedas

Projeto irá ensinar blockchain e criptomoedas para povo indígena Paiter-Suruí

Fernando Martines
19 jul, 2024 15:01

- Criptomoedas

Agora você pode guardar seu Bitcoin sob a pele

Decrypt
14 jul, 2024 17:29

Tela de computador com logotipo da Binance e lente de aumento

- Criptomoedas

Binance aumenta capital da B Fintech em 37.300%, indo de R$ 50 mil para R$ 18,7 milhões

Fernando Martines
15 jul, 2024 12:50

O usuário do GitHub que publicou os dados de forma pública se chama “Termf” e não ficou claro se a ação representou um vazamento proposital com o intuito de prejudicar a empresa ou um funcionário com acesso que publicou as informações por acidente.

Material vazado não era versão teste, apontam indícios

A reportagem do 404 analisou que em um dos arquivos, encontrado em uma pasta chamada “binance-infra-2.0”, há um diagrama que mostra a interconexão entre diferentes partes das dependências variadas da Binance.

Além disso, o vazamento inclui uma grande quantidade de scripts e códigos, alguns dos quais parecem estar relacionados à implementação de senhas e autenticação multifatorial pela Binance, com comentários em inglês e chinês.

O material vazado contém também múltiplos arquivos com supostas senhas para sistemas marcados como “prod”, o que provavelmente significa sistemas de produção.

Estes são tipicamente usados como parte do site ao vivo, e não em ambientes de demonstração ou desenvolvimento. Pelo menos duas dessas senhas parecem corresponder a servidores AWS utilizados pela Binance.