Pesquisadores de segurança cibernética encontraram cerca de US$ 18 milhões (R$ ~ 92 milhões) de clientes de duas corretoras de criptomoedas expostos em base de dados pública onde qualquer pessoa poderia ter acesso.
O grupo de White hackers (hacker ético) pôde facilmente cruzar os dados públicos com chaves de API e ter acesso irrestrito aos fundos dos clientes.
As informações foram reveladas pelo site de segurança CyberNews e noticiada pelo Decrypt.
Os analistas identificaram a maior quantia exposta na corretora Lykke, da Suíça. O site apontou que a corretora está em “grande crescimento” e tem um volume mensal de US$ 106 milhões.
De modo bem simples, o que as duas exchanges fizeram foi deixar o valor milionário de seus muitos clientes completamente exposto na internet. Felizmente, os primeiros a identificar a falha de segurança foram os pesquisadores. Nenhum hacker mal intencionado teve acesso aos fundos.
Dados vazados permitiam acesso ao dinheiro de clientes
A CyberNews informou que a primeira coisa que eles encontraram na base de dados pública foram as chaves API da Lykke. Com a posse dessas chaves, eles poderiam ter acesso direto à plataforma da exchange e realizar negociações, depósitos e saques.
Mas o pior não é isso, os analistas encontraram também as chaves privadas das carteiras de criptomoedas.
Essas chaves privadas permitiriam o acesso à carteira dos clientes, praticamente liberando acesso total com os valores guardados, incluindo compras, transferências e negociações.
Por fim, CyberNews também teve acesso as informações de transações dos clientes, com informações sobre o saldo de cada conta. Apesar de esses dados não serem modificáveis, com o acesso das chaves privadas e da API de cada clientes, é possível manipular os valores facilmente.
A Lykke não foi a única
Uma corretora chinesa chamada Hubdex também teve os dados de seus clientes facilmente acessados. No entanto, o valor era bem menor, cerca de US$ 2 milhões.
Além das informações de API e chaves privadas, os analistas também tiveram acesso aos documentos de KYC, o que permitia um controle ainda maior as contas.
Os hackers entraram em contato com as empresas e apenas a Lykke respondeu, informando que a base de dados pertencia a ela e que a falha já estava sendo resolvida.
Ao tentar entrar em contato com a Hubdex, os pesquisadores descobriram que os endereços de e-mail listados não funcionam.
No mais, resta sempre lembrar o clássico ditado popular: Exchange não é carteira!