O blog oficial da Foxbit publicou durante a madrugada desta segunda-feira (23) que a empresa, via Blinktrade, havia atualizado o processo de login, deixando-o mais seguro. Esta é, contudo, apenas uma parte de uma história que envolve meses de roubos de usuários com phishing e um especialista em segurança que descobriu a falha e disse que iria divulgá-la caso não fosse corrigido.
“Eu poderia estar rico agora”, escreveu via Whatsapp ao Portal do Bitcoin, Leandro Trindade, que responsável pela descoberta da falha (leia o relatório completo aqui). “Mas meu código de ética não deixa”, acrescentou. O especialista calcula que pelo menos 58 BTCs foram roubados — um valor de quase R$ 2 milhões. A exchange não confirma o valor.
Trindade contou que começou a perceber que algo estava errado quando notou o volume de reclamações no site Reclame Aqui. Várias mensagens, pelo menos desde dezembro do ano passado, reclamavam da perda súbita de Bitcoins. O vídeo abaixo explica o mecanismo:
“No dia 22 de janeiro, por volta das 19h, eu tinha R$ 36 mil reais. Logo depois, não tinha nada”, disse o segurança bancário Evando Conceição de Oliveira, um dos prejudicados pelo erro.
Basicamente, o que acontecia era que no 2FA da Foxbit o usuário precisava de apenas uma chave para poder trocá-lo. Depois que era desabilitado, era possível reabilitar sem email de confirmação sem fornecer outro 2FA ou nenhum outro dado. Quando a pessoa caia no site de phishing, ela ‘entregava’ a chave e permitia que o hacker tomasse o controle da conta.
“É o equivalente a você ir ao banco, pedir um novo token e o gerente te dar o novo sem nem olhar sua identidade”, disse Trindade.
Tentativa de avisar a Foxbit
Ao descobrir o erro, Trindade disse ter avisado a corretora, com uma sugestão de correção, no dia 29 de março por meio de 2 e-mails, uma mensagem no sistema de suporte e uma mensagem via Facebook. Apenas no dia 12 de abril recebeu uma resposta da Blinktrade, a responsável pela plataforma. A mensagem, porém, não era muito animadora: era apenas um aviso de que seriam necessários mais sete dias para solucionar o problema. O prazo não foi cumprido. Apenas 25 dias depois do aviso, o erro foi resolvido.
A Foxbit e a BlinkTrade, por meio da assessoria de imprensa, afirmam tinha conhecimento do problema antes do contato de Trindade. “O novo procedimento de login e retiradas em bitcoin já estava prevista desde o início de fevereiro”, diz a nota.
“A empresa”, prossegue o texto, “foi informada das primeiras ocorrências em dezembro e desde então tem trabalhado junto à BlinkTrade para reforçar a segurança e orientar os usuários, como mostram post no nosso blog nesse sentido”.
A Foxbit também disse que Natalia Garcia, a diretora jurídica, entrou em contato com Trindade “na sexta-feira (20) para saber mais informações sobre o relatório, visto que é a nossa diretoria jurídica que está cuidando dos casos de phishing e sites falsos”.
Problema das vítimas
Para as vítimas do golpe, o problema vai prosseguir. De acordo com Oliveira, em um primeiro momento o departamento jurídico da Foxbit entrou em contato para fazer um acordo no qual se comprometia a devolver 50% do valor perdido. Oliveira tentou fechar por R$ 24 mil, o valor investido, mas acabou aceitando por R$ 20 mil. O acordo acabou cancelado pela corretora.
A Foxbit afirma que alguns casos estão sendo resolvidos na Justiça e que outros seguem sendo negociados diretamente com os clientes, mas não quis detalhar nenhum.
O problema jurídico entra na questão sobre qual é a responsabilidade do cliente e qual é a da empresa. Uma decisão recente em segunda instância do Tribunal de Justiça de São Paulo, em um caso de internet banking, deu vitória à parte prejudicada.
No processo (nº 0007235-39.2010.8.26.0302) contra o Banco do Brasil, o juiz decidiu que não houve culpa do autor da ação. “No caso dos autos, trata-se de caso fortuito interno, o qual decorre do risco do negócio desempenhado pela instituição financeira”, disse a sentença.
Outras falhas
Essa não é a primeira vez que a Foxbit enfrenta problemas por erros na plataforma da Blinktrade. Em março, a corretora teve problemas com saques duplos. Na ocasião, foram roubados cerca de R$ 1 milhão e a exchange passou 14 dias fora do ar.
Questionada sobre a manutenção da parceira com a BlinkTrade, a exchange disse que ambas empresas “possuem uma parceria comercial regida por um contrato em vigor”. A resposta da assessoria de imprensa também diz que a Blinktrade “não tem responsabilidade nas ocorrências, já que nos casos de phishing, são os usuários que entregam (direta ou indiretamente) suas informações pessoais para terceiros”.
Resposta de Rodrigo Souza, CEO da Blinktrade
Por vídeo, o desenvolvedor contestou as críticas de Leandro Trindade:
https://www.youtube.com/watch?v=4vvXDdYYnjw&feature=youtu.be