A NegocieCoins, uma das líderes em volume de transações de criptomoedas, possuía duas brechas em seu site que poderiam ser utilizadas para atacar clientes. Segundo o pesquisador de segurança Leandro Trindade, o blog da empresa contava com uma vulnerabilidade de content spoofing e outra de Trace.axd.
Na primeira delas, o content spoofing permite que cibercriminosos coloquem textos e conteúdos falsos em um site. Isso é feito por meio de uma manipulação de formulários. “Pudemos ver com clareza o que essa vulnerabilidade aliada a uma criatividade maliciosa pode fazer no caso da carteira Electrum. Nesse caso os servidores maliciosos geravam uma mensagem de erro falsa, induzindo os clientes a instalarem uma versão errada da carteira, que em seguida roubava seus bitcoins”, escreve Trindade no Portal do Bitcoin. “Agora temos a possibilidade de usar o próprio blog da corretora para fazer um phishing bem elaborado e acima de tudo crível, tudo que é necessário é uma campanha bem planejada. Já vimos campanhas de phishing dessas sendo feitas através do Google AdWords, mensagens, e-mails, ou até mesmo redes sociais”.
Brechas: content spoofing e Trace.axd
Outra vulnerabilidade, o Trace.axd, reside na confiabilidade em serviços de terceiros. Essa ferramenta serve para caçar bugs no código de um site, porém, como estava habilitada para a internet, ela estava registrando tudo que acontecia na NegocieCoins — armazenamento até senhas e credenciuais.
"O Trace.axd estava registrando comunicações de todos os clientes da LeadLovers [empresa terceirizada], todos os blogs, sistemas de marketing, cursos, e expondo as senhas desses clientes. Invadir um sistema já é um prato cheio para um hacker, ter todas as informações sensíveis de centenas de sistemas livremente expostas sem nem precisar invadir nada seria algo digamos, épico”, diz o pesquisador.
- De acordo com as empresas, os problemas foram resolvidos. Você pode acompanhar os detalhes das vulnerabilidades clicando aqui. Abaixo, o posicionamento da NegocieCoins
“A NegocieCoins vem através deste esclarecer alguns fatos referentes a análise feita pelo Grupo Infosec CCESS.
É importante esclarecer que os pontos apresentados já não existem mais e nunca houveram danos financeiros a qualquer de nossos clientes. Na plataforma da NegocieCoins mesmo que pessoas mal intencionadas conseguissem o arquivo da leadlovers com os cookies ainda seria necessário um pin, autenticação 2fa e validação do endereço de saque através de e-mail.
Caso fosse solicitado um novo pin é necessário responder três perguntas de segurança cadastrados pleo titular da conta no momento da abertura. Ou seja, a segurança dos valores de nossos clientes sempre esteve garantida.
Rodrigo Lullez, criador do código da Negociecoins e Vinicius, diretor de TI do Grupo Bitcoin Banco, agradecem o trabalho sério desenvolvido pelo Grupo Infosec CCESS.
O Grupo Bitcoin Banco é orientado pela premissa de popularizar as criptomoedas e nos orgulhamos de ter o melhor atendimento e ambiente de trabalho do Brasil, como prova disso somos a única empresa de criptomoedas brasileira com o certificado Great Place to Work e RA1000.
O mesmo respeito que direcionamos a nossos clientes e colaboradores dispensamos também a todos entusiastas do mercado e por isso elaboramos essa resposta. A transparência, respeito e confiança são essenciais para a evolução nesse mercado”.
Categorias