BitcoinBlockchainCriptomoedas

Foxbit: erro no 2FA pode ter causado prejuízo milionário a clientes. Programador Leandro Trindade avisou.

blog oficial da Foxbit publicou durante a madrugada desta segunda-feira (23) que a empresa, via Blinktrade, havia atualizado o processo de login, deixando-o mais seguro. Esta é, contudo, apenas uma parte de uma história que envolve meses de roubos de usuários com phishing e um especialista em segurança que descobriu a falha e disse que iria divulgá-la caso não fosse corrigido.

“Eu poderia estar rico agora”, escreveu via Whatsapp ao Portal do Bitcoin, Leandro Trindade, que responsável pela descoberta da falha. “Mas meu código de ética não deixa”, acrescentou. O especialista calcula que pelo menos 58 BTCs foram roubados — um valor de quase R$ 2 milhões. A exchange não confirma o valor.

Trindade contou que começou a perceber que algo estava errado quando notou o volume de reclamações no site Reclame Aqui. Várias mensagens, pelo menos desde dezembro do ano passado, reclamavam da perda súbita de Bitcoins. O vídeo abaixo explica o mecanismo:

“No dia 22 de janeiro, por volta das 19h, eu tinha R$ 36 mil reais. Logo depois, não tinha nada”, disse o segurança bancário Evando Conceição de Oliveira, um dos prejudicados pelo erro.

Basicamente, o que acontecia era que no 2FA da Foxbit o usuário precisava de apenas uma chave para poder trocá-lo. Depois que era desabilitado, era possível reabilitar sem email de confirmação sem fornecer outro 2FA ou nenhum outro dado. Quando a pessoa caia no site de phishing, ela ‘entregava’ a chave e permitia que o hacker tomasse o controle da conta.

“É o equivalente a você ir ao banco, pedir um novo token e o gerente te dar o novo sem nem olhar sua identidade”, disse Trindade.

Tentativa de avisar a Foxbit

Ao descobrir o erro, Trindade disse ter avisado a corretora, com uma sugestão de correção, no dia 29 de março por meio de 2 e-mails, uma mensagem no sistema de suporte e uma mensagem via Facebook. Apenas no dia 12 de abril recebeu uma resposta da Blinktrade, a responsável pela plataforma. A mensagem, porém, não era muito animadora: era apenas um aviso de que seriam necessários mais sete dias para solucionar o problema. O prazo não foi cumprido. Apenas 25 dias depois do aviso, o erro foi resolvido.

A Foxbit e a BlinkTrade, por meio da assessoria de imprensa, afirmam tinha conhecimento do problema antes do contato de Trindade. “O novo procedimento de login e retiradas em bitcoin já estava prevista desde o início de fevereiro”, diz a nota.

“A empresa”, prossegue o texto, “foi informada das primeiras ocorrências em dezembro e desde então tem trabalhado junto à BlinkTrade para reforçar a segurança e orientar os usuários, como mostram post no nosso blog nesse sentido”.

A Foxbit também disse que Natalia Garcia, a diretora jurídica, entrou em contato com Trindade “na sexta-feira (20) para saber mais informações sobre o relatório, visto que é a nossa diretoria jurídica que está cuidando dos casos de phishing e sites falsos”.

Problema das vítimas

Para as vítimas do golpe, o problema vai prosseguir. De acordo com Oliveira, em um primeiro momento o departamento jurídico da Foxbit entrou em contato para fazer um acordo no qual se comprometia a devolver 50% do valor perdido. Oliveira tentou fechar por R$ 24 mil, o valor investido, mas acabou aceitando por R$ 20 mil. O acordo acabou cancelado pela corretora.

A Foxbit afirma que alguns casos estão sendo resolvidos na Justiça e que outros seguem sendo negociados diretamente com os clientes, mas não quis detalhar nenhum.

O problema jurídico entra na questão sobre qual é a responsabilidade do cliente e qual é a da empresa. Uma decisão recente em segunda instância do Tribunal de Justiça de São Paulo, em um caso de internet banking, deu vitória à parte prejudicada.

No processo contra o Banco do Brasil, o juiz decidiu que não houve culpa do autor da ação. “No caso dos autos, trata-se de caso fortuito interno, o qual decorre do risco do negócio desempenhado pela instituição financeira”, disse a sentença.

Outras falhas

Essa não é a primeira vez que a Foxbit enfrenta problemas por erros na plataforma da Blinktrade. Em março, a corretora teve problemas com saques duplos. Na ocasião, foram roubados cerca de R$ 1 milhão e a exchange passou 14 dias fora do ar.

Questionada sobre a manutença da parceira com a BlinkTrade, a exchange disse que ambas empresas “possuem uma parceria comercial regida por um contrato em vigor”. A resposta da assessoria de imprensa também diz que a Blinktrade “não tem responsabilidade nas ocorrências, já que nos casos de phishing, são os usuários que entregam (direta ou indiretamente) suas informações pessoais para terceiros”.

Por Cláudio Goldberg Rabin para Portal do Bitcoin

. . . .

Faça parte do nosso Canal VIP no Telegram
As melhores análises da atualidade.
Acesse → bit.ly/RegistroBitcoinMoveVIP

Uma amostra do Canal VIP? Canal FREE →  t.me/btcmove

Participe de nossa comunidade:
Grupo FREE | FÓRUM → bit.ly/BitcoinMoveFree

Conheça todos os nossos serviços → www.BitcoinMove.com.br/servicos

Teve sucesso com uma de nossas análises? DOE:
BTC: 16Gb1i1x7ioaW2QtGCGKFapoD4CZRezAhz
LTC: LWgzt17pHrinyxU7rnRKshpvMvUFMoKS8c
ETH: 0xa02f8e619b77bb8E77180CC5E44Ab72C538d6cba
BCH: 1FJ2kBVYHmewHHFo4bTvQcJTSS3rgW3Q7R

Dúvidas? Fale conosco:

E-mail: contato@bitcoinmove.com.br
Telegram: @bitcoinmove
Facebook: https://www.facebook.com/bitcoinmove
Site: www.BitcoinMove.com.br

 

Comente e fortaleça a comunidade cripto no Brasil:
%d blogueiros gostam disto: