Pesquisa da CCESS relata as falhas de segurança da Foxbit

0 Comentários

O Grupo Cryptocurrency Exchange Security Standards Council (CCESS) é especializado em realizar testes de segurança em exchanges, incluindo as brasileiras. Esse é um grupo white hat que sempre reporta os defeitos encontrados para que as exchanges possam realizar as devidas mudanças e correções.

Todos os sábados o CCESS libera na sua página do Facebook detalhes sobre as vulnerabilidades que encontram em suas pesquisas. Mais recentemente, eles lançaram um relatório sobre a Exchange Foxbit relatando graves vulnerabilidades onde dados de diversos clientes (incluindo fotos) podiam ser acessados facilmente por hackers.

A Foxbit é atualmente a maior exchange do Brasil e tem mais de 400 mil clientes, com previsão de alcançar 1 milhão até o fim de 2019. Isso levou os pesquisadores a terem interesse na segurança da corretora, considerando que muitos clientes poderiam estar em risco de violação de dados.

Segundo informações do Mundo Hacker, a equipe de pesquisadores realizou cerca de 20 horas de testes na Foxbit. Porém, apesar do pouco tempo de pesquisa, eles foram capazes de descobrir problemas alarmantes no sistema de segurança da corretora. De acordo com um post na página oficial do CCESS, eles descobriram as vulnerabilidades no final de 2018 e avisaram a Foxbit no dia 9 de outubro de 2018. A falha de segurança foi corrigida no dia 15 do mesmo mês.

As informações foram reveladas alguns meses depois para evitar que algum grupo conseguisse explorar a vulnerabilidade antes que tudo fosse devidamente corrigido.

Leia também  Venda Bitcoin e receba em dólar diretamente na sua conta no PayPal

Vulnerabilidade da Foxbit – O que foi afetado?

A vulnerabilidade mais curiosa, e definitivamente a mais preocupante, era a exposição de dados pessoais dos clientes. Segundo os pesquisadores, a Exchange usava o Amazon S3 Public Bucket, um serviço de armazenamento na nuvem, tal como o Dropbox ou o Google Drive.

Através do software, a Foxbit armazenava milhares de documentos dos seus clientes. Esse é um procedimento comum, não só em exchanges de criptomoedas, mas em outras companhias que pedem “uma selfie com um documento” por motivos de segurança. O problema é que os pesquisadores da CCESS conseguiram acessar todos esses dados, conseguindo até mesmo baixar as fotos ou fazer upload de fotos e outros arquivos.

Segundo o post na página oficial da CCESS:

“Em nossas pesquisas fomos capazes de localizar onde eram guardados os documentos de KYC da Foxbit. O repositório de imagens era um Bucket S3 da Amazon, porém com um bônus: todas as permissões estavam liberadas para usuários não autenticados.

Em termos simples, era possível navegar e baixar livremente todas as imagens guardadas pela Exchange para fins de KYC, isso inclui documentos pessoais dos clientes, CNH, passaportes, identidades, fotos, comprovantes e selfies. Ao todo foram 15 mil, todos expostos na internet.”

Imagem divulgada no Facebook mostrando os dados salvos pela Foxbit.

Esse tipo de informação, com um acesso livre por parte de hackers, é altamente perigoso para todos os clientes da corretora e algo muito valioso na dark web. Felizmente o problema foi resolvido, com a CCESS afirmando que:

Leia também  O fim do banco como conhecemos e o interesse do setor na tecnologia por trás do Bitcoin

“Essa [falha] era realmente pesada e colocava muitos clientes em risco, avisamos a Foxbit imediatamente e foi corrigido por eles. Para fins de proteção dos clientes nenhum do conteúdo vazado foi guardado por nós.”

Aparentemente, os pesquisadores foram os únicos a descobrir a vulnerabilidade e os dados não foram utilizados por nenhum grupo black hat.

Além dos dados dos clientes

Além dos dados roubados, muitas outras falhas gravíssimas também foram encontradas no sistema de segurança da Foxbit. Uma dessas falhas era que o diretório GIT onde o código-fonte da plataforma era armazenado também estava exposto, assim como o banco de dados dos documentos.

Caso os pesquisadores da CCESS fossem hackers mal-intencionados, eles poderiam facilmente usar o código-fonte para diversas atividades ilícitas. Entre elas estão a possibilidade de clonar a plataforma, vender o código no mercado negro ou até mesmo roubar valores em criptomoedas.

Por exemplo, com o acesso ao GIT e ao código-fonte, os pesquisadores conseguiram encontrar o histórico de alterações e as chaves privadas de hotwallets com um total de quase 2 mil BTC (mais de R$29 milhões).

Como já é de se esperar, quem possui as chaves privadas tem controle total sobre as carteiras, podendo realizar transferências para qualquer outro endereço. Ou seja, na teoria, a Foxbit poderia ter sido roubada a qualquer momento e ter um prejuízo milionário, o que poderia ter levado a Foxbit à falência, algo como o que aconteceu com a Cryptopia no começo do ano.

Leia também  Agora você pode comprar imóveis com bitcoins

Ainda segundo o Mundo Hacker, ataques de acesso por força bruta também poderiam ser realizados no sistema de captcha no site da plataforma. Um ataque a força bruta (também chamado de brute force) é quando um programa fica tentando adivinhar uma senha ou um captcha até conseguir a combinação correta.

Durante os testes, os pesquisadores também descobriram uma falha de XSS, onde puderam usar a aplicação CMS Cutephp para criar telas de login falsas no site.

Além disso tudo, os arquivos de backup também estavam expostos, o WordPress estava mal configurado e o proxy e regras de segurança do Cloudfare não estavam de acordo com os padrões de segurança necessários.

O post no Facebook da CCESS informa que outras exchanges, algumas ainda em teste, também foram afetadas pela mesma falha de compartilhamento de dados. São elas:

  • A Casa do Bitcoin
  • Bitfinex
  • CryptoSouk
  • Koinal
  • LatinBlockChain
  • SwordCoin
  • Yodabit

Por enquanto, os usuários estão seguros em relação a essas vulnerabilidades, já que elas foram todas corrigidas.

Escreva um comentário

Investir é especulativo. Ao investir seu capital está em risco. Este site não se destina a uso em jurisdições em que a negociação ou os investimentos descritos são proibidos e só devem ser usados por essas pessoas e de maneiras que sejam legalmente permitidas. Seu investimento pode não se qualificar para a proteção do investidor em seu país ou estado de residência, portanto, conduza sua própria devida diligência. Este site é gratuito para você usar, mas podemos receber comissões das empresas que apresentamos neste site. Clique aqui para obter mais informações.