Portal do Bitcoin
  • Notícias
    • Últimas notícias
    • Cotações
    • Criptomoedas
      • Ethereum
      • Bitcoin Cash
      • Litecoin
      • Ripple
    • Blockchain
    • Brasil
    • Economia e Negócios
  • Cotação do Bitcoin
  • Educação
    • Criptomoedas
      • O que é Bitcoin?
      • O que é Ethereum?
      • O que é Ripple?
      • O que é Cardano?
      • O que é IOTA?
      • O que é Tron?
      • O que é Nano?
    • Carteiras
      • Online
      • Mobile
      • Paper Wallet
      • Desktop
      • MyEtherWallet
    • O que é Mineração?
    • O que é ICO?
    • O que é DeFi
    • Blockchain de Maneira Fácil
  • Calendário
Nenhum Resultado
Ver Todos os Resultados
Portal do Bitcoin
Nenhum Resultado
Ver Todos os Resultados

Programador invade exchange brasileira, acessa dados privados mas não rouba nada

por Alexandre Antunes
13 Maio, 2019 12:45 - Atualizado em 29 Maio, 2020 15:36
Programador invade exchange brasileira, acessa dados privados mas não rouba nada

Foto: Shutterstock

*Correção: Por erro da reportagem, foi informado que o programador teve acesso a chaves privadas de mais mil de clientes. Isso não aconteceu. O texto foi corrigido.

Um programador teve acesso a dados sensíveis de clientes da corretora brasileira de criptomoedas New Cash por conta de uma grave falha na segurança descoberta no final de abril. A vulnerabilidade do sistema foi confirmada e corrigida pela empresa.



O Portal do Bitcoin conversou com a pessoa que descobriu a falha que poderia trazer sérios problemas à plataforma. Ela, que pediu para manter o anonimato, teve acesso a CPFs, CNHs (Carteira Nacional de habilitação) e RGs. Não há registro, porém, de roubos de dinheiro ou bitcoin.

Renato Oliva, CEO da exchange, disse que o problema foi solucionado no mesmo instante em que soube do fato. “Um rapaz fez um teste de segurança e na noite mesmo eu resolvi. Ele fez a tentativa por volta das 18h30 ou 19h. Às 20h, estava tudo blindado”.

Leia também

Polkadot (DOT) ultrapassa XRP e se torna quarta maior criptomoeda em valor de mercado

Kraken é a última exchange a suspender negociação de Ripple (XRP)

Chainlink (LINK) valoriza 22% e renova sua máxima histórica

Ele, contudo, diz que não sabe se houve algum vazamento. “Fui informado que havia uma brecha. Se houve algum vazamento, não foi informado a gente”.

Leandro Trindade, fundador da X15Tech, foi quem comunicou o fato a Oliva, depois de ter sido informado pelo próprio programador que a empresa New Cash apresentava a vulnerabilidade.  



“Ele entrou em contato com a Access pela página do Facebook. Eu fui correndo e avisei ao pessoal da New Cash para fecharem a falha”.

“Eram 8 GB de dados. Ali continha muita coisa confidencial. Como documento de todos usuários dentro da plataforma e inclusive algumas paper wallets de Bitcoin a chave privada. Mas não havia nenhum Bitcoin nelas.”

Oliva nega negou o acesso a essas chaves. Além disso, por segurança, as chaves privadas dos clientes não ficam nos servidores web.

Falha de segurança grave

O programador disse que sempre nas horas vagas faz esse tipo de análise de segurança de plataformas e, num desse chamados Pentests, encontrou a falha que na sua visão é algo grave.

“Ela é chamada de Disclosure Path onde permite ler todos arquivos de uploads dentro do servidor deles. Descobri fazendo uma análise nos dados trafegados na rede. Vendo como atuava na requisição permitiu que eu encontrasse todos arquivos correspondente a uploads”.



Ele conta que não foi algo difícil e que uma ferramenta de análise de tráfego chamada Burp Suite havia permitido que ele fizesse isso. Apesar de a empresa ter resolvido logo o problema, comenta o programador, há o risco de outras pessoas terem tido acesso antes.

“A questão é que muitas pessoas podem ter tido acesso antes, não se sabe a quanto tempo a falha estava lá”.

Tudo indica que os dados estavam vulneráveis desde o ano passado, pois havia documentos de 2018:

“Não sei dizer como essas pessoas poderiam usar os documentos em caso de vazamento. A primeira coisa que me vem à cabeça é criar contas em bancos ou contas em lojas e coisas do tipo”.

Erro da plataforma

Para Trindade, a falha da New Cash foi de deixar os documentos expostos para a internet toda em vez de

“O Apache é um servidor de arquivo e o que se coloca no HTDocs fica exposto para a internet toda. Tem como configurar para que a pasta não fique disponível, mas eles não fizeram isso”.



De acordo com Trindade, a New Cash errou ao deixar tudo numa pasta pública e com index, o que permite a um invasor acessar de documentos dos clientes e dos próprios funcionários da empresa.

“Tem até prints do programador fazendo coisas no Trello em pasta que estava com o index ativado. Quando ela não está indexável, a pessoa só pega o arquivo se ela souber o endereço dele, o que já seria uma falha de segurança”.

Para o programador que descobriu essa falha, a New Cash foi irresponsável em alguns momentos. “Deixou uma falha assim expor dados dos usuários e não informou da falha para os usuários após ter sido reportada”.

Ele, contudo, diz não se espantar com isso que tem sido já um problema comum entre as empresas que trabalham com criptomoedas.  “A maioria das plataformas que reportei falha fazem o mesmo. E não são poucas, mais da metade das exchanges do mercado têm falhas”.



CompartilharTweetEnviarCompartilhar

Relacionadas

Youtuber Piuzinho
Brasil

Youtuber Piuzinho chora ao relatar que hacker deletou canal: “Vou recomeçar do zero”

Youtuber Piuzinho
Brasil

Hackers roubam canal de youtuber brasileiro Piuzinho para golpe com criptomoedas

Foto: Shutterstock
Brasil

Associação Brasileira de Criptoeconomia muda diretoria e nomeia dois novos executivos

Brasil

Ford encerra sua produção no Brasil

Foto: Shutterstock
Bitcoin

Gestora brasileira de criptomoedas pede cautela a clientes com alta do bitcoin

Carregar mais
Portal do Bitcoin

Portal do Bitcoin é líder em notícias sobre bitcoin e mercado brasileiro de criptomoedas.

Notícias

  • Últimas notícias
  • Bitcoin
  • Criptomoedas
  • Blockchain
  • Brasil
  • Fintech

Ferramentas

  • Assuntos
  • Cotação do Bitcoin
  • Cotação das Criptomoedas
  • E-book Declaração IR Criptoativos
  • Calendário de Eventos
  • Sitemap

Informações

  • Quem somos
  • Contato
  • Anuncie
  • Trabalhe Conosco
  • Denúncia

© 2017-2020 Portal do Bitcoin. Todos os direitos reservados. É proibida a reprodução do conteúdo sem autorização prévia.

Nenhum Resultado
Ver Todos os Resultados
  • Notícias
    • Últimas notícias
    • Cotações
    • Criptomoedas
      • Ethereum
      • Bitcoin Cash
      • Litecoin
      • Ripple
    • Blockchain
    • Brasil
    • Economia e Negócios
  • Cotação do Bitcoin
  • Educação
    • Criptomoedas
      • O que é Bitcoin?
      • O que é Ethereum?
      • O que é Ripple?
      • O que é Cardano?
      • O que é IOTA?
      • O que é Tron?
      • O que é Nano?
    • Carteiras
      • Online
      • Mobile
      • Paper Wallet
      • Desktop
      • MyEtherWallet
    • O que é Mineração?
    • O que é ICO?
    • O que é DeFi
    • Blockchain de Maneira Fácil
  • Calendário

×