*Correção: Por erro da reportagem, foi informado que o programador teve acesso a chaves privadas de mais mil de clientes. Isso não aconteceu. O texto foi corrigido.
Um programador teve acesso a dados sensíveis de clientes da corretora brasileira de criptomoedas New Cash por conta de uma grave falha na segurança descoberta no final de abril. A vulnerabilidade do sistema foi confirmada e corrigida pela empresa.
O Portal do Bitcoin conversou com a pessoa que descobriu a falha que poderia trazer sérios problemas à plataforma. Ela, que pediu para manter o anonimato, teve acesso a CPFs, CNHs (Carteira Nacional de habilitação) e RGs. Não há registro, porém, de roubos de dinheiro ou bitcoin.
Renato Oliva, CEO da exchange, disse que o problema foi solucionado no mesmo instante em que soube do fato. “Um rapaz fez um teste de segurança e na noite mesmo eu resolvi. Ele fez a tentativa por volta das 18h30 ou 19h. Às 20h, estava tudo blindado”.
Ele, contudo, diz que não sabe se houve algum vazamento. “Fui informado que havia uma brecha. Se houve algum vazamento, não foi informado a gente”.
Leandro Trindade, fundador da X15Tech, foi quem comunicou o fato a Oliva, depois de ter sido informado pelo próprio programador que a empresa New Cash apresentava a vulnerabilidade.
“Ele entrou em contato com a Access pela página do Facebook. Eu fui correndo e avisei ao pessoal da New Cash para fecharem a falha”.
“Eram 8 GB de dados. Ali continha muita coisa confidencial. Como documento de todos usuários dentro da plataforma e inclusive algumas paper wallets de Bitcoin a chave privada. Mas não havia nenhum Bitcoin nelas.”
Oliva nega negou o acesso a essas chaves. Além disso, por segurança, as chaves privadas dos clientes não ficam nos servidores web.
Falha de segurança grave
O programador disse que sempre nas horas vagas faz esse tipo de análise de segurança de plataformas e, num desse chamados Pentests, encontrou a falha que na sua visão é algo grave.
“Ela é chamada de Disclosure Path onde permite ler todos arquivos de uploads dentro do servidor deles. Descobri fazendo uma análise nos dados trafegados na rede. Vendo como atuava na requisição permitiu que eu encontrasse todos arquivos correspondente a uploads”.
Ele conta que não foi algo difícil e que uma ferramenta de análise de tráfego chamada Burp Suite havia permitido que ele fizesse isso. Apesar de a empresa ter resolvido logo o problema, comenta o programador, há o risco de outras pessoas terem tido acesso antes.
“A questão é que muitas pessoas podem ter tido acesso antes, não se sabe a quanto tempo a falha estava lá”.
Tudo indica que os dados estavam vulneráveis desde o ano passado, pois havia documentos de 2018:
“Não sei dizer como essas pessoas poderiam usar os documentos em caso de vazamento. A primeira coisa que me vem à cabeça é criar contas em bancos ou contas em lojas e coisas do tipo”.
Erro da plataforma
Para Trindade, a falha da New Cash foi de deixar os documentos expostos para a internet toda em vez de
“O Apache é um servidor de arquivo e o que se coloca no HTDocs fica exposto para a internet toda. Tem como configurar para que a pasta não fique disponível, mas eles não fizeram isso”.
De acordo com Trindade, a New Cash errou ao deixar tudo numa pasta pública e com index, o que permite a um invasor acessar de documentos dos clientes e dos próprios funcionários da empresa.
“Tem até prints do programador fazendo coisas no Trello em pasta que estava com o index ativado. Quando ela não está indexável, a pessoa só pega o arquivo se ela souber o endereço dele, o que já seria uma falha de segurança”.
Para o programador que descobriu essa falha, a New Cash foi irresponsável em alguns momentos. “Deixou uma falha assim expor dados dos usuários e não informou da falha para os usuários após ter sido reportada”.
Ele, contudo, diz não se espantar com isso que tem sido já um problema comum entre as empresas que trabalham com criptomoedas. “A maioria das plataformas que reportei falha fazem o mesmo. E não são poucas, mais da metade das exchanges do mercado têm falhas”.
XRP
Cardano