Imagem da matéria: Falha na Segurança da Foxbit Causa Prejuízo a Clientes; Programador Avisou de Erro Há um Mês
Leandro Trindade, que descobriu o problema, estima roubo de até 58 bitcoins (Foto: Pixabay)

O blog oficial da Foxbit publicou durante a madrugada desta segunda-feira (23) que a empresa, via Blinktrade, havia atualizado o processo de login, deixando-o mais seguro. Esta é, contudo, apenas uma parte de uma história que envolve meses de roubos de usuários com phishing e um especialista em segurança que descobriu a falha e disse que iria divulgá-la caso não fosse corrigido.

“Eu poderia estar rico agora”, escreveu via Whatsapp ao Portal do Bitcoin, Leandro Trindade, que responsável pela descoberta da falha (leia o relatório completo aqui). “Mas meu código de ética não deixa”, acrescentou. O especialista calcula que pelo menos 58 BTCs foram roubados — um valor de quase R$ 2 milhões. A exchange não confirma o valor. 

Publicidade

Trindade contou que começou a perceber que algo estava errado quando notou o volume de reclamações no site Reclame Aqui. Várias mensagens, pelo menos desde dezembro do ano passado, reclamavam da perda súbita de Bitcoins. O vídeo abaixo explica o mecanismo:

“No dia 22 de janeiro, por volta das 19h, eu tinha R$ 36 mil reais. Logo depois, não tinha nada”, disse o segurança bancário Evando Conceição de Oliveira, um dos prejudicados pelo erro.

Basicamente, o que acontecia era que no 2FA da Foxbit o usuário precisava de apenas uma chave para poder trocá-lo. Depois que era desabilitado, era possível reabilitar sem email de confirmação sem fornecer outro 2FA ou nenhum outro dado. Quando a pessoa caia no site de phishing, ela ‘entregava’ a chave e permitia que o hacker tomasse o controle da conta.

“É o equivalente a você ir ao banco, pedir um novo token e o gerente te dar o novo sem nem olhar sua identidade”, disse Trindade.

Publicidade

Tentativa de avisar a Foxbit

Ao descobrir o erro, Trindade disse ter avisado a corretora, com uma sugestão de correção, no dia 29 de março por meio de 2 e-mails, uma mensagem no sistema de suporte e uma mensagem via Facebook. Apenas no dia 12 de abril recebeu uma resposta da Blinktrade, a responsável pela plataforma. A mensagem, porém, não era muito animadora: era apenas um aviso de que seriam necessários mais sete dias para solucionar o problema. O prazo não foi cumprido. Apenas 25 dias depois do aviso, o erro foi resolvido.

A Foxbit e a BlinkTrade, por meio da assessoria de imprensa, afirmam tinha conhecimento do problema antes do contato de Trindade. “O novo procedimento de login e retiradas em bitcoin já estava prevista desde o início de fevereiro”, diz a nota.

“A empresa”, prossegue o texto, “foi informada das primeiras ocorrências em dezembro e desde então tem trabalhado junto à BlinkTrade para reforçar a segurança e orientar os usuários, como mostram post no nosso blog nesse sentido”.

A Foxbit também disse que Natalia Garcia, a diretora jurídica, entrou em contato com Trindade “na sexta-feira (20) para saber mais informações sobre o relatório, visto que é a nossa diretoria jurídica que está cuidando dos casos de phishing e sites falsos”.

Publicidade

Problema das vítimas

Para as vítimas do golpe, o problema vai prosseguir. De acordo com Oliveira, em um primeiro momento o departamento jurídico da Foxbit entrou em contato para fazer um acordo no qual se comprometia a devolver 50% do valor perdido. Oliveira tentou fechar por R$ 24 mil, o valor investido, mas acabou aceitando por R$ 20 mil. O acordo acabou cancelado pela corretora.

A Foxbit afirma que alguns casos estão sendo resolvidos na Justiça e que outros seguem sendo negociados diretamente com os clientes, mas não quis detalhar nenhum.

O problema jurídico entra na questão sobre qual é a responsabilidade do cliente e qual é a da empresa. Uma decisão recente em segunda instância do Tribunal de Justiça de São Paulo, em um caso de internet banking, deu vitória à parte prejudicada.

No processo (nº 0007235-39.2010.8.26.0302) contra o Banco do Brasil, o juiz decidiu que não houve culpa do autor da ação. “No caso dos autos, trata-se de caso fortuito interno, o qual decorre do risco do negócio desempenhado pela instituição financeira”, disse a sentença.

Outras falhas

Essa não é a primeira vez que a Foxbit enfrenta problemas por erros na plataforma da Blinktrade. Em março, a corretora teve problemas com saques duplos. Na ocasião, foram roubados cerca de R$ 1 milhão e a exchange passou 14 dias fora do ar.

Publicidade

Questionada sobre a manutenção da parceira com a BlinkTrade, a exchange disse que ambas empresas “possuem uma parceria comercial regida por um contrato em vigor”. A resposta da assessoria de imprensa também diz que a Blinktrade “não tem responsabilidade nas ocorrências, já que nos casos de phishing, são os usuários que entregam (direta ou indiretamente) suas informações pessoais para terceiros”.

Resposta de Rodrigo Souza, CEO da Blinktrade

Por vídeo, o desenvolvedor contestou as críticas de Leandro Trindade:

https://www.youtube.com/watch?v=4vvXDdYYnjw&feature=youtu.be

VOCÊ PODE GOSTAR
Imagem da matéria: Do Kwon e Terraform fecham acordo com SEC sobre acusações de fraude com LUNA

Do Kwon e Terraform fecham acordo com SEC sobre acusações de fraude com LUNA

A startup por trás das falidas criptomoedas Terra (LUNA) e TerraUSD (UST) está entrando em acordo com os reguladores dos EUA para resolver acusações de fraude
Moeda dourada com logo da Cardano na rente de gráfico com alta

Cardano sai do Top 10 das criptomoedas à medida que Toncoin sobe

Cardano, de Charles Hoskinson, saiu brevemente do top das 10 principais criptomoedas depois que a Toncoin a ultrapassou
Imagem da matéria: Microsoft lança PC com IA que vai lembrar tudo que você faz na internet

Microsoft lança PC com IA que vai lembrar tudo que você faz na internet

A big tech revelou o Copilot+ PC “projetado para IA” que recorda tudo o que é exibido na tela do seu computador
Policial algemando suspeito durante a noite

Suspeito de roubar quase R$ 10 milhões da Pump.fun é preso em Londres

Jarett Dunn, ex-funcionário da plataforma Pump.fun, foi preso na Inglaterra acusado de golpe de quase R$ 10 milhões