Por: Livecoins
De acordo com uma matéria publicada no portal Mundo Hacker, a Foxbit – uma das maiores corretoras de Bitcoin do Brasil – tinha uma falha de segurança que deixava 15 mil arquivos expostos, documentos pessoais de clientes como RG, CPF e CNH podiam ser acessados e baixados por uma pessoa não autorizada através de um gerenciador de conteúdo.
A vunerabilidade de segurança foi descoberta por pesquisadores da CCESS, no final de 2018. A equipe realizou testes de vulnerabilidades e de intrusão nos sistemas da empresa e descobriram a falha que foi registrada sob o código CVE-2018-17941, disponível em: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17941.
O problema ocorreu 8 meses atrás, quando a corretora passava por uma migração de sistema.
De acordo com João Canhada, CEO da FoxBit, “O bug foi resolvido rapidamente”.
Falhas encontradas De acordo com a matéria, os dados dos usuários expostos não foi o único problema encontrado pela equipe de segurança da CCESS, o Mundo Hacker teve acesso a documentos que mostravam que a corretora tinha um diretório GIT exposto, com chave pública de algumas carteiras de bitcoin. 2000 bitcoins, o equivalente a mais de R$ 29 milhões poderiam ter sido transferidos caso um hacker tivesse acesso ao repositório.
Além disso, a plataforma possuia falha que permitia ataque de brute force e XSS, assim, uma pessoal mal intencionada poderia executar um ataque para tentar quebrar senhas, ou injetar scripts maliciosos, respectivamente.
Uma outra vulnerabilidade foi a existência de um arquivo antigo de backup que estava acessível no servidor. O arquivo permitiu que os pesquisadores obtivessem informações cruciais para realizar ataques mais avançados.
A CCESS encontrou também, além das falhas mencionadas acima, arquivos de configuração expostos, arquivos de wordpress com dados de usuário e senha, e falhas de configuração do CloudFlare (DNS).
Outras exchanges afetadas Em 2017 a Foxbit mudou de plataforma, da Blinktrade para Alpha Point, plataforma que permite qualquer empresa ter uma exchange de ativos digitais, com opções totalmente hospedadas, implantações personalizadas e desenvolvimento rápido, semelhante a Peatio.
A Alpha point fornece plataforma personalizada para diversas corretoras no Brasil e no mundo. A CCESS encontrou subpastas com o nome de outras corretoras, e em algumas, de acordo com o Mundo Hacker, também haviam documentos pessoais de usuários, incluindo passaportes, CHN, identidade e etc.
Pasta outras exchanges. Imagem: Mundo Hacker Posicionamento da Foxbit? O Mundo Hacker entrou em contato a assessoria da Foxbit, que respondeu algumas perguntas:
Mundo Hacker: Houve exposição do Código Fonte da plataforma?
Foxbit: Não houve nenhuma exposição do código fonte da plataforma. Tecnicamente, nos foi reportado uma falha tecnológica pontual, apresentando uma janela em que dados poderiam estar vulneráveis na internet. Não houve exposição do back-end, haja vista que toda a atenção foi dada para o caso após o reporte.
Mundo Hacker: De acordo com o relatório, os pesquisadores visualizaram cerca de 15 mil fotos de documentos na Amazon Public Bucket?
Foxbit: Assim que a Foxbit tomou ciência da vulnerabilidade agiu imediatamente corrigindo os pontos indicados. Importante esclarecer que não houve exposição de dados sensíveis de consumidores que pudessem gerar qualquer tipo de prejuízo ou dano.
Mundo Hacker: A empresa chegou a avisar seus clientes sobre essa falha?
Foxbit: Não houve comunicação direta com os clientes, considerando que não houve qualquer dano potencial aos dados dos consumidores. Não houve qualquer reclamação registrada por parte de clientes, seja através do chat, Reclame Aqui ou na esfera judicial. Como dito anteriormente, o resultado do reporte ocasionou a rápida atuação da Foxbit para sanar imediatamente eventuais falhas que pudessem expor dados de clientes.
Mundo Hacker: Quanto a CCESS recebeu de recompensa pelos bugs?
Foxbit : Na época a Foxbit não possuía nenhum programa de recompensas para reporte de bugs, contudo nos aproximamos da CCESS para troca de informações sobre o mercado tecnológico atual. Muito importante o apoio da CCESS direto à Foxbit e ao mercado como um todo. Sem dúvidas estamos analisando a melhor política de recompensa por eventuais bugs reportados.
Mundo Hacker: E que medidas de segurança estão tomando atualmente para evitar esse tipo de exposição novamente (contratam alguma empresa de segurança)?
Foxbit: A Foxbit possui uma política rígida de segurança interna e externa, com seus parceiros comerciais. Nos preocupamos diariamente com a segurança e proteção de dados de nossos clientes, buscando amparo dos principais players do mercado nacional e internacional.
O artigo Vulnerabilidade na Foxbit deixava dados de usuários expostos foi publicado originalmente em Livecoins.