Após Alerta de Hacker, Corretora de Criptomoedas Brasileira Corrige Falha Grave

Consultor de segurança já havia encontrado falha na Foxbit (Foto: Shutterstock)

A corretora de criptomoedas brasileira Braziliex teve sorte. Sua plataforma estava com uma falha crítica e uma pessoa alertou a empresa sem tirar proveito da situação.

A empresa divulgou nesta segunda-feira (04), por meio de sua página do Facebook, o problema encontrado e agradeceu ao consultor de segurança Leandro Trindade pela correção. Nenhum cliente teria sido prejudicado.

A falha foi classificada por Trindade como crítica, pois permitia o saque remoto de Bitcoins. “No total foram quatro falhas, 2 de XSS Injection e 2 do token de confirmação, dois tipos de bugs”, disse Trindade ao Portal do Bitcoin.

Felizmente, segundo a corretora de criptomoedas, ninguém foi prejudicado. “Assim que tivemos conhecimento, nossa equipe técnica, rapidamente, resolveu a questão. Nenhum prejuízo foi causado aos nossos clientes e essa vulnerabilidade não foi explorada por ninguém de má fé”, diz o texto da Braziliex.

Em linguagem técnica, a falha da XSS Injection significa que uma pessoa pode injetar javascript na página da empresa e roubar os cookies. E roubar os cookies significa que ela poderia roubar a sessão logada da pessoa sem precisar saber o login ou senha ou 2FA para entrar numa conta.

“É como se eu clonasse uma identidade. Posso dizer para o site que eu sou você e ele vai acreditar. Depois disso só preciso fazer o saque e confirmar como se eu tivesse recebido o e-mail”, explicou o especialista.

O segundo bug descoberto foi sobre a previsibilidade dos tokens de saque. Havia um endpoint (como uma página de saque, por exemplo) do site que entregava o token, então um hacker não precisaria mais de acesso ao e-mail da vítima para confirmar o saque.



Por fim, uma pessoa poderia adivinhar qual o próximo token que será gerado usando informações da página da Braziliex.

“É uma maneira de assumir o controle e mandar, por exemplo, o seu computador sacar os seus Bitcoins e entregar para mim”, disse.

Trindade, que nem sempre é bem recebido pela empresa, afirmou que no início a Braziliex pensou que ele estava trabalhando para algum concorrente. “Depois entenderam meus objetivos”.

Caso Foxbit

Trindade também foi responsável por encontrar um erro na Foxbit. No dia 23 de abril, o blog oficial da empresa publicou que a corretora, via Blinktrade, havia atualizado o processo de login, deixando-o mais seguro. Na época, Trindade havia descoberto a falha e avisado.

Ele acabou fazendo um relatório completo do problema e divulgando na internet. O especialista calculou que pelo menos 58 BTCs foram roubados — um valor de quase R$ 2 milhões. A exchange não confirmou.

Fonte: portaldobitcoin.com

In this article

Join the Conversation

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.