Vulnerabilidade na Foxbit deixava dados de usuários expostos

"Não houve nenhuma exposição do código fonte da plataforma, problema foi resolvido há meses", disse a assessoria de imprensa da corretora

Siga no

De acordo com uma matéria publicada no portal Mundo Hacker, a Foxbit – uma das maiores corretoras de Bitcoin do Brasil – tinha uma falha de segurança que deixava 15 mil arquivos expostos, documentos pessoais de clientes como RG, CPF e CNH podiam ser acessados e baixados por uma pessoa não autorizada através de um gerenciador de conteúdo.

A vunerabilidade de segurança foi descoberta por pesquisadores da CCESS, no final de 2018. A equipe realizou testes de vulnerabilidades e de intrusão nos sistemas da empresa e descobriram a falha que foi registrada sob o código CVE-2018-17941, disponível em: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17941.

Documentos expostos. IMAGEM: https://mundohacker.net.br

O problema ocorreu 8 meses atrás, quando a corretora passava por uma migração de sistema.

De acordo com João Canhada, CEO da FoxBit, “O bug foi resolvido rapidamente”.

Falhas encontradas

De acordo com a matéria, os dados dos usuários expostos não foi o único problema encontrado pela equipe de segurança da CCESS, o Mundo Hacker teve acesso a documentos que mostravam que a corretora tinha um diretório GIT exposto, com chave pública de algumas carteiras de bitcoin. 2000 bitcoins, o equivalente a mais de R$ 29 milhões poderiam ter sido transferidos caso um hacker tivesse acesso ao repositório.

Além disso, a plataforma possuia falha que permitia ataque de brute force e XSS, assim, uma pessoal mal intencionada poderia executar um ataque para tentar quebrar senhas, ou injetar scripts maliciosos, respectivamente.

Uma outra vulnerabilidade foi a existência de um arquivo antigo de backup que estava acessível no servidor. O arquivo permitiu que os pesquisadores obtivessem informações cruciais para realizar ataques mais avançados.

CCESS encontrou também, além das falhas mencionadas acima, arquivos de configuração expostos, arquivos de wordpress com dados de usuário e senha, e falhas de configuração do CloudFlare (DNS).

Outras exchanges afetadas

Em 2017 a Foxbit mudou de plataforma, da Blinktrade para Alpha Point, plataforma que permite qualquer empresa ter uma exchange de ativos digitais, com opções totalmente hospedadas, implantações personalizadas e desenvolvimento rápido, semelhante a Peatio.

A Alpha point fornece plataforma personalizada para diversas corretoras no Brasil e no mundo. A CCESS encontrou subpastas com o nome de outras corretoras, e em algumas, de acordo com o Mundo Hacker, também haviam documentos pessoais de usuários, incluindo passaportes, CHN, identidade e etc.

Pasta outras exchanges. Imagem: Mundo Hacker

Posicionamento da Foxbit?

Mundo Hacker entrou em contato a assessoria da Foxbit, que respondeu algumas perguntas:

Mundo Hacker: Houve exposição do Código Fonte da plataforma?

Foxbit: Não houve nenhuma exposição do código fonte da plataforma. Tecnicamente, nos foi reportado uma falha tecnológica pontual, apresentando uma janela em que dados poderiam estar vulneráveis na internet. Não houve exposição do back-end, haja vista que toda a atenção foi dada para o caso após o reporte.

Mundo Hacker: De acordo com o relatório, os pesquisadores visualizaram cerca de 15 mil fotos de documentos na Amazon Public Bucket?

Foxbit: Assim que a Foxbit tomou ciência da vulnerabilidade agiu imediatamente corrigindo os pontos indicados. Importante esclarecer que não houve exposição de dados sensíveis de consumidores que pudessem gerar qualquer tipo de prejuízo ou dano.

Mundo Hacker: A empresa chegou a avisar seus clientes sobre essa falha?

Foxbit: Não houve comunicação direta com os clientes, considerando que não houve qualquer dano potencial aos dados dos consumidores. Não houve qualquer reclamação registrada por parte de clientes, seja através do chat, Reclame Aqui ou na esfera judicial. Como dito anteriormente, o resultado do reporte ocasionou a rápida atuação da Foxbit para sanar imediatamente eventuais falhas que pudessem expor dados de clientes.

Mundo Hacker:   Quanto a CCESS recebeu de recompensa pelos bugs?

Foxbit : Na época a Foxbit não possuía nenhum programa de recompensas para reporte de bugs, contudo nos aproximamos da CCESS para troca de informações sobre o mercado tecnológico atual. Muito importante o apoio da CCESS direto à Foxbit e ao mercado como um todo. Sem dúvidas estamos analisando a melhor política de recompensa por eventuais bugs reportados.

Mundo Hacker: E que medidas de segurança estão tomando atualmente para evitar esse tipo de exposição novamente (contratam alguma empresa de segurança)?

Foxbit: A Foxbit possui uma política rígida de segurança interna e externa, com seus parceiros comerciais. Nos preocupamos diariamente com a segurança e proteção de dados de nossos clientes, buscando amparo dos principais players do mercado nacional e internacional.

Clique aqui para ver a matéria completa no Mundo Hacker.

Leia mais sobre:
Avatar
Livecoins
Livecoins é um portal de blockchain e criptoeconomia focado em notícias, artigos, análises, dicas e tutoriais.

Líder da pirâmide com Bitcoin, ArbCrypto, é preso em Minas

Um dos fundadores da empresa ArbCrypto - que atuava com arbitragem de criptomoedas - Alexandre Cesário Kwok, foi preso em Uberaba, no Triângulo Mineiro, nesta quinta-feira (25). Havia...
Queda Bitcoin

Bitcoin pode registrar maior queda semanal desde março de 2020

O preço do Bitcoin está em forte queda nesta sexta-feira (26). Com uma perda de 7% nas últimas 24 horas, o ativo digital está...
Tether-sera-emitido-na-rede-tron

Tether cria dólares do nada, igual ao Fed, diz Pompliano

Um processo contra a Tether e a corretora Bitfinex foi encerrado no inicio desta semana, de acordo com a decisão, empresa enganou clientes e o...

Cotação do Bitcoin por TradingView

Últimas notícias

Bitcoin pode registrar maior queda semanal desde março de 2020

O preço do Bitcoin está em forte queda nesta sexta-feira (26). Com uma perda de 7% nas últimas 24 horas, o ativo digital está...

Tether cria dólares do nada, igual ao Fed, diz Pompliano

Um processo contra a Tether e a corretora Bitfinex foi encerrado no inicio desta semana, de acordo com a decisão, empresa enganou clientes e o...

Fundo em Dubai diz que vai trocar $ 750 milhões em Bitcoin por Cardano e Polkadot porque “bitcoin é inútil”

Com suposta sede em Dubai, o fundo FD7 Ventures anunciou na quinta-feira (26) que vai vender mais de US $ 750 milhões em Bitcoin...

Bitcoin não será um meio de troca global, diz Charlie Munger

Charlie Munger, parceiro de longa data do veterano investidor Warren Buffett e crítico do Bitcoin, atacou mais uma vez a criptomoeda. Durante uma entrevista...

Rumor: Elon Musk está sob investigação da SEC por causa de tweets sobre Dogecoin

O CEO da Tesla, Elon Musk, pode estar sendo investigado pela comissão de valores mobiliários dos Estados Unidos (SEC) por causa de sua suposta...