A corretora de criptomoedas brasileira Braziliex teve sorte. Sua plataforma estava com uma falha crítica e uma pessoa alertou a empresa sem tirar proveito da situação.
A empresa divulgou nesta segunda-feira (04), por meio de sua página do Facebook, o problema encontrado e agradeceu ao consultor de segurança Leandro Trindade pela correção. Nenhum cliente teria sido prejudicado.
A falha foi classificada por Trindade como crítica, pois permitia o saque remoto de Bitcoins. “No total foram quatro falhas, 2 de XSS Injection e 2 do token de confirmação, dois tipos de bugs”, disse Trindade ao Portal do Bitcoin.
Felizmente, segundo a corretora de criptomoedas, ninguém foi prejudicado. “Assim que tivemos conhecimento, nossa equipe técnica, rapidamente, resolveu a questão. Nenhum prejuízo foi causado aos nossos clientes e essa vulnerabilidade não foi explorada por ninguém de má fé”, diz o texto da Braziliex.
Em linguagem técnica, a falha da XSS Injection significa que uma pessoa pode injetar javascript na página da empresa e roubar os cookies. E roubar os cookies significa que ela poderia roubar a sessão logada da pessoa sem precisar saber o login ou senha ou 2FA para entrar numa conta.
“É como se eu clonasse uma identidade. Posso dizer para o site que eu sou você e ele vai acreditar. Depois disso só preciso fazer o saque e confirmar como se eu tivesse recebido o e-mail”, explicou o especialista.
O segundo bug descoberto foi sobre a previsibilidade dos tokens de saque. Havia um endpoint (como uma página de saque, por exemplo) do site que entregava o token, então um hacker não precisaria mais de acesso ao e-mail da vítima para confirmar o saque.
Por fim, uma pessoa poderia adivinhar qual o próximo token que será gerado usando informações da página da Braziliex.
“É uma maneira de assumir o controle e mandar, por exemplo, o seu computador sacar os seus Bitcoins e entregar para mim”, disse.
Trindade, que nem sempre é bem recebido pela empresa, afirmou que no início a Braziliex pensou que ele estava trabalhando para algum concorrente. “Depois entenderam meus objetivos”.
Caso Foxbit
Trindade também foi responsável por encontrar um erro na Foxbit. No dia 23 de abril, o blog oficial da empresa publicou que a corretora, via Blinktrade, havia atualizado o processo de login, deixando-o mais seguro. Na época, Trindade havia descoberto a falha e avisado.
Ele acabou fazendo um relatório completo do problema e divulgando na internet. O especialista calculou que pelo menos 58 BTCs foram roubados — um valor de quase R$ 2 milhões. A exchange não confirmou.
- Acompanhe nossa página no Facebook: fb.com/portaldobitcoin
BitcoinTrade
Comprar e vender Bitcoin e Ethereum ficou muito mais fácil. A BitcoinTrade é a plataforma mais segura e rápida do Brasil. Além disso, é a única com a certificação de segurança PCI Compliance. Acesse agora ou baixe nosso aplicativo para iOs ou Android: https://www.bitcointrade.com.br/