A Binance, maior corretora de criptomoedas do mundo, teve seu código-fonte e senhas internas expostas no GitHub por meses. Em pedido ligado a lei de direitos autorais, publicado no dia 24 de janeiro, a corretora informa que isso pode “causar graves danos financeiros à Binance e danos aos usuários”.
Na sequência aparecem três repositórios do GitHub de outra conta, chamada Termf, contendo os nomes “new-binance-msg”, “account” e “binance-infra”. Embora o conteúdo já tinha sido derrubado pelo GitHub, o jornal 404 Media conseguiu acesso a alguns arquivos.
“Vários arquivos continham senhas aparentes para sistemas marcados como “prod”, provavelmente significando produção”, destacou a 404.
Seguindo, o jornal destaca que uma variedade de códigos estavam expostos. Como exemplo, nota que parte dele “parece estar relacionado à forma como a Binance implementa senhas e autenticação de múltiplos-fatores”.
Embora a 404 Media questione se o vazamento foi resultado de um ataque ou um upload acidental por parte de um empregado, é mais fácil acreditar no primeiro cenário devido às medidas tomadas pela corretora.
Códigos e senhas da Binance ficaram expostos no GitHub por meses
Ao que tudo indica, nenhuma senha de usuário foi exposta, apenas senhas internas. Independente disso, o risco é grande já que se trata de informações do site da corretora, incluindo logins e senhas de seu servidor da AWS.
Segundo a 404 Media, que entrou em contato com a Binance no dia 5 de janeiro, os arquivos ficaram expostos por meses no GitHub. Logo em seguida, a corretora enviou um pedido de remoção, citando infringimento de direitos autorais.
“A conta GitHub e todo o repositório [estão] usando a propriedade intelectual do nosso cliente sem autorização”, informaram os advogados da Binance em seu pedido de remoção.
“Esta conta usa o código interno do nosso cliente, representando um risco significativo para a Binance e causa graves danos financeiros à Binance e confusão/dano ao usuário.”
“Gostaria de denunciar uma conta do GitHub (https://github.com/Termf) por hospedar e distribuir vazamentos de código interno que representam um risco significativo para a BINANCE.”
O pedido da Binance parece ter sido aceito pelo GitHub já que os repositórios não estão mais disponíveis. No entanto, ainda é possível ver que a conta Termf, criada em junho de 2023, ainda possuí um repositório ligado a corretora, chamado “binance-api-postman”.
Binance diz que vazamento contém dados antigos e usuários não devem se preocupar
Embora tenha apresentado um tom preocupante em sua comunicação com o GitHub, a Binance optou por uma abordagem mais tranquila com o público. Em resposta a 404 Media, primeira a perceber o vazamento, a corretora informou que os códigos são antigos e que seus usuários estão seguros.
“Estamos cientes de que há um indivíduo online que afirma ter informações confidenciais da Binance”, respondeu à Binance à 404 Media. “Nossa equipe de segurança avaliou esta afirmação e confirmou que ela não se parece com o que temos atualmente em produção.”
“Os usuários devem ter certeza de que seus dados e ativos permanecerão seguros em nossa plataforma.”
“Nossa equipe de segurança analisa proativamente quaisquer possíveis problemas e se dedica a manter uma infraestrutura líder do setor para proteger todos os usuários”, finalizou a corretora.
Por fim, conforme a Binance já estava ciente da situação há quase um mês, é provável que a corretora já tenha alterado quaisquer senhas vazadas, além de outras medidas de segurança. Portanto, é difícil acreditar que o vazamento terá alguma consequência.
