No final do mês passado, John McAfee lançou um desafio: quem conseguisse hackear a carteira digital para criptomoedas fabricada por sua empresa, a Bitfi, levaria US$ 100 mil para casa. A ideia era justamente incentivar os hackers na tentativa de quebrar as defesas da Bitfi Wallet e, não conseguindo, comprovar a tese de McAfee de que o dispositivo é “à prova de hackers”.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
For all you naysayers who claim that “nothing is unhackable” & who don’t believe that my Bitfi wallet is truly the world’s first unhackable device, a $100,000 bounty goes to anyone who can hack it. Money talks, bullshit walks. Details on https://t.co/ATFaxwUzQC
— John McAfee (@officialmcafee) 24 de julho de 2018
E, bem, a proposta deu certo — ao menos para o hacker que conseguiu violar o dispositivo e agora tem um crédito de US$ 100 mil para retirar junto a John McAfee. O responsável pelo feito foi o pesquisador de segurança holandês conhecido como OverSoft, que afirmou no Twitter ter hackeado a carteira digital premiada.
Ele disse ter obtido acesso root à carteira sem que isso causassem qualquer tipo de bloqueio no acesso ao dashboard. “Não há qualquer verificação a fim de prevenir isso como dito pela BitFi”, escreveu o hacker em uma mensagem em seu Twitter.
Short update without going into too much detail about BitFi:
— OverSoft (@OverSoftNL) 1 de agosto de 2018
We have root access, a patched firmware and can confirm the BitFi wallet still connect happily to the dashboard.
There are NO checks in place to prevent that like claimed by BitFi.
Ele afirmou, ainda, que o hardware da carteira digital da BitFi não é necessário para usar a carteira em si. “Não há nada naquele dispositivo que seja necessário para que o app da BitFi funcione”, relatou OverSoft. “Não há qualquer segurança. Ele poderiam ter lançado isso na Play Store como um aplicativo.”
So yeah: you don't need a BitFi device to run a BitFi wallet.
— OverSoft (@OverSoftNL) 2 de agosto de 2018
I repeat: there's nothing in that device that is required for the BitFi app to function. There's NO secure element. They could've released it on the Play Store as an app.
Vai pagar ou não?
John McAfee se manifestou sobre o feito afirmando que “rootear não é hackear”, ao que o próprio OverSoft respondeu dizendo que “se é possível instalar um keylogger [na carteira] = não é segura”. Apesar da fala do executivo, um tweet publicado no perfil da empresa reconhece “uma potencial fragilidade na segurança” e, diante disso, resolve lançar um novo programa de recompensas para resolvê-lo!
Dear friends, we're announcing second bounty to help us assist potential security weaknesses of the Bitfi device. We would greatly appreciate assistance from the infosec community, we need help. Here are the bounty conditions: https://t.co/f00POuF1Ov Thank you, Daniel Khesin CEO
— Bitfi (@Bitfi6) 1 de agosto de 2018
Agora, a situação está em um impasse porque McAfee continua defendendo que, para hackear o produto, o sujeito precisa retirar o dinheiro que está lá. Já OverSoft afirma que o programa de recompensas não passa de uma jogada de marketing da empresa. No fim das contas, é impossível saber até onde irá a disputa.
Fontes
Categorias