Um estudo do grupo de segurança de exchanges CCESS do final de 2018 e divulgado somente agora, revelou uma série de vulnerabilidades na segurança de dados da Foxbit, uma das maiores exchanges do Brasil.
Fundada em 2014, a Foxbit é uma das empresas proeminentes no mercado nacional de criptomoedas.
Segundo matéria do site "Mundo Hacker" desta sexta-feira, 22 de fevereiro, o CCESS, que se define como um grupo de “White Hat de Offensive Security”, realizou voluntariamente pequenos testes de “vulnerabilidades e intrusão nos sistemas da corretora”, no que deveria ser um pente fino de rotina, mas teriam se deparado com falhas “preocupantes”.
Os pesquisadores teriam encontrado mais de uma dezena de vulnerabilidades de médio e alto grau, expondo dados de clientes como passaportes, dados bancários, fotos e outros documentos pessoais. Além dos dados de clientes da Foxbit, também estariam sujeitos a fácil acesso dados de outras exchanges.
“A exchange utilizava o Amazon S3 Public Bucket, uma espécie de Dropbox, onde armazenava milhares de documentos. Até aí tudo bem (sic). O problema é que isso estava totalmente público. Os pesquisadores da CCESS obtiveram acesso a esse gerenciador de conteúdo onde poderiam inclusive fazer download de cerca de 15 mil arquivos contendo documentos pessoais como CHN, RG, e CPF de usuários. Além disso conseguiram fazer upload de um arquivo para o servidor”, relata o texto.
Outra das falhas identificadas pelo CCESS era o acesso ao código fonte da plataforma, armazenado em um diretório da ferramenta GIT, que também estaria exposto.
Com exclusividade para o Cointelegraph Brasil, a Foxbit declarou via assessoria de imprensa que não havia registros da falha de segurança antes do trabalho do CCESS, e ressaltou que todas as falhas foram corrigidas assim que a empresa foi informada da “falha tecnológica pontual”.
“Por um curto período de tempo, haveria a possibilidade de exposição. Todavia, tão logo a empresa tenha sido informada, corrigiu os pontos indicados. Cumpre esclarecer que não houve exposição de dados sensíveis de consumidores que pudessem gerar qualquer tipo de dano ou prejuízo”, declarou a Foxbit.
A empresa também defendeu a escolha de não informar os usuários da falha identficada: “não houve contato direto, uma vez que não houve qualquer dano potencial aos dados dos consumidores. Frise-se que não houve qualquer reclamação registrada por parte de clientes, seja através do chat, Reclame Aqui ou na esfera judicial”, completou.
Segundo informou a matéria do Mundo Hacker, a equipe do CCESS não recebeu recompensa oficial da exchange, já que não havia programa de recompensas em vigor para a empresa, mas, segundo a reportagem, houve aproximação da empresa com o CCESS “para troca de informações sobre o mercado tecnológico atual”.
Conforme a Foxbit declarou ao Cointelegraph, as empresas envolvidas neste tipo de tecnologia têm sido alvo de ataques à segurança. A empresa completou dizendo que “esses acontecimentos só nos fazem a cada dia mais investir em segurança para prover um ambiente ainda mais seguro”.