Adquirida pela Ripple no início de setembro, a Fortress Trust reconheceu um hack de US$ 15 milhões (R$ 72 milhões) na última semana. Afirmando que seus sistemas estão intactos, a empresa jogou a culpa era um fornecedor terceirizado.
Tal fornecedor é a Retool. Em nota publicada na quarta-feira (13), tal empresa também repassou a culpa para um terceiro: o Google.
Embora admita que um funcionário caiu em um golpe de phishing no final do mês passado, ela também afirma que um novo recurso de backup do Google Authenticator contribuiu para o hack milionário que teve diversas empresas do setor de criptomoedas como alvos.
O criticado backup do Google Authenticator
Em abril desse ano, o Google anunciava que o Authenticator, seu aplicativo de autenticação de dois fatores (2FA), ganhava um novo recurso. Através dele, usuários poderiam salvar esses dados na nuvem, bastando um login para acessá-lo.
Esse novo recurso foi tratado como uma grande brecha de segurança por diversas pessoas. A Binance, maior corretora de criptomoedas do mundo, foi uma das primeiras a pedir que seus usuários desativassem essa opção, notando que a conveniência não justificava o risco.
Afinal, caso sua conta do Google fosse invadida, os hackers passariam a ter acesso completo a todos os códigos 2FA encontrados no aplicativo.
Fortress Trust culpa Retool
Em nota publicada no dia 7 de setembro, a Fortress Trust afirmou que seus clientes foram impactados por um ataque direcionado ao seu fornecedor de serviços.
“Na semana passada, 4 clientes do Fortress foram impactados por um fornecedor terceirizado cujas ferramentas de nuvem foram comprometidas”, escreveu a empresa no Twitter. “Encerramos imediatamente a integração do fornecedor e, por precaução, pausamos todas as contas para avaliar e garantir a segurança de todo o sistema.”
Embora o tuíte também afirme que não houve perda de fundos, na semana seguinte Scott Purcell, fundador da Fortress, contou à Fortune que sua empresa perdeu entre R$ 58 e R$ 72 milhões (US$ 12 a 15 milhões) no ataque.
Retool culpa novo recurso do Google
Já na quarta-feira (13), Snir Kodesh, head de engenharia da Retool, assumiu que sua empresa havia caído em um ataque de phishing no final de agosto. O ataque afetou 27 empresas clientes da Retool, incluindo a Fortress Trust.
Segundo o relato, vários funcionários da Retool foram alvos de engenharia social. Nas mensagens, os hackers se passavam por clientes da empresa, pedindo que os empregados acessassem um link para resolver um problema em seus sistemas.
Embora quase todos os funcionários tenham ignorado as mensagens, um deles acabou caindo no golpe. Após efetuar login no portal falso, o funcionário recebeu uma ligação e forneceu um código adicional de autenticação de dois fatores ao invasor.
“Isso permitiu que eles tivessem uma sessão ativa do GSuite naquele dispositivo”, comenta Kodesh. “O Google lançou recentemente o recurso de sincronização do Google Authenticator que sincroniza códigos MFA (autenticação multifator) com a nuvem. Isso é altamente inseguro, pois se sua conta do Google estiver comprometida, agora também estão seus códigos MFA.”
“Infelizmente, o Google emprega padrões obscuros para convencê-lo a sincronizar seus códigos MFA com a nuvem, e nosso funcionário realmente ativou esse ‘recurso’.”
Finalizando, o executivo da Retool aponta que os hackers obtiveram acesso ao VPN interno da empresa e seus sistemas de administração, permitindo que eles assumissem o controle de diversas contas de empresas clientes, todos da indústria de criptomoedas.
Comunidade reage ao hack e pede por mais descentralização
Através das redes sociais, Jameson Lopp, desenvolvedor do Bitcoin, lembrou que Scott Purcell, fundador da Trust Fortress, também fundou a Prime Trust, empresa que declarou falência no mês passado.
“Que incêndio em uma lixeira em chamas. Não posso acreditar que alguém confiou neles depois de como eles quebraram o Prime Trust.”
Já Mike Belshe, CEO da BitGo, publicou um longo texto sobre a postura da Fortress, que tentou ocultar o ocorrido em um primeiro momento. Embora sua empresa também seja centralizada, o executivo aponta que continuará lutando para eliminar o envolvimento humano, fazendo que o sistema financeiro não dependa da integridade de ninguém.
“Esta é toda a situação e é exatamente por isso que precisamos da descentralização”, comentou Belshe, notando que sua empresa não tem nenhuma ligação com o ocorrido. “Não podemos continuar dependendo da honestidade de depositários, banqueiros ou “terceiros de confiança” que agem com integridade quando coisas más acontecem.”
“Coisas ruins acontecerão, e a maioria dos humanos não tem coragem suficiente para ser honesto sobre isso.”
Por fim, enquanto usuários podem evitar serviços de terceiros, mantendo seus investimentos em suas próprias carteiras, brechas de segurança como o backup em nuvem do Google Authenticator requerem atenção. Finalizando, Snir Kodesh, executivo da Retool, citou novamente os perigos desse novo recurso.
“O fato de o Google Authenticator sincronizar com a nuvem é um novo vetor de ataque.”
“O que implementamos originalmente foi uma autenticação multifator, mas, por meio desta atualização do Google, o que antes era autenticação multifator silenciosamente se tornou autenticação de fator único”, finalizou Kodesh.
