.webp)
.webp)
A Binance: maior corretora de criptomoedas do mundo tem código-fonte e senhas internas expostas no GitHub
A Binance, a maior corretora de criptomoedas do mundo, recentemente teve seu código-fonte e senhas internas expostas no GitHub por meses. Esse vazamento, descoberto por meio de um pedido vinculado à lei de direitos autorais no dia 24 de janeiro, representa um sério risco financeiro tanto para a corretora quanto para seus usuários.
Os repositórios do GitHub pertencem à conta "Termf" e contêm os seguintes nomes: "new-binance-msg", "account" e "binance-infra". Embora o conteúdo tenha sido removido do GitHub, algumas informações foram acessadas pelo jornal 404 Media.
Segundo a 404 Media, diversos arquivos continham senhas aparentes para sistemas marcados como "prod", indicando que eram relacionados à produção. Além disso, uma variedade de códigos também foi exposta, incluindo aqueles relacionados à implementação de senhas e autenticação de múltiplos fatores pela Binance.
Ainda não está claro se o vazamento ocorreu devido a um ataque direcionado à corretora ou se foi um upload acidental realizado por um funcionário. No entanto, considerando as medidas tomadas pela Binance, é mais provável que o vazamento tenha resultado de um ataque.
Códigos e senhas da Binance ficaram expostos no GitHub por meses
Embora nenhuma senha de usuário tenha sido exposta, o risco ainda é significativo, já que os arquivos continham informações do site da corretora, incluindo logins e senhas do seu servidor da AWS. A 404 Media entrou em contato com a Binance em 5 de janeiro, notificando-os sobre a exposição dos arquivos no GitHub. A corretora imediatamente enviou um pedido de remoção, alegando violação de direitos autorais.
"A conta GitHub e todo o repositório estão usando a propriedade intelectual do nosso cliente sem autorização", afirmaram os advogados da Binance no pedido de remoção. "Esta conta usa o código interno do nosso cliente, representando um risco significativo para a Binance e causando graves danos financeiros e confusão aos usuários."
Parece que o pedido da Binance foi aceito pelo GitHub, pois os repositórios não estão mais disponíveis. No entanto, ainda é possível verificar a existência de um repositório ligado à corretora na conta "Termf", criada em junho de 2023, chamado "binance-api-postman".
Binance diz que vazamento contém dados antigos e usuários não devem se preocupar
Apesar do tom preocupante adotado pela Binance em sua comunicação com o GitHub, a corretora decidiu adotar uma abordagem mais tranquilizadora quando se trata do público em geral. Em resposta à 404 Media, a Binance afirmou que os códigos expostos são antigos e que seus usuários estão seguros.
"Estamos cientes de que há um indivíduo online que afirma ter informações confidenciais da Binance", respondeu a Binance à 404 Media. "Nossa equipe de segurança avaliou essa alegação e confirmou que não se parece com o que estamos atualmente utilizando em produção."
A Binance também enfatizou que possui uma equipe de segurança dedicada a analisar proativamente possíveis problemas e a manter uma infraestrutura líder do setor para proteger seus usuários.
Dado que a Binance já estava ciente dessa situação há quase um mês, é provável que a corretora já tenha alterado quaisquer senhas vazadas e tomado outras medidas de segurança para mitigar os riscos decorrentes do vazamento. Portanto, é improvável que haja consequências diretas para os usuários.
Redes sociais