Falha na Segurança da Foxbit Causa Prejuízo a Clientes; Programador Avisou de Erro Há um Mês

Portal Bitcoin -

 

O blog oficial da Foxbit publicou durante a madrugada desta segunda-feira (23) que a empresa, via Blinktrade, havia atualizado o processo de login, deixando-o mais seguro. Esta é, contudo, apenas uma parte de uma história que envolve meses de roubos de usuários com phishing e um especialista em segurança que descobriu a falha e disse que iria divulgá-la caso não fosse corrigido.

“Eu poderia estar rico agora”, escreveu via Whatsapp ao Portal do Bitcoin, Leandro Trindade, que responsável pela descoberta da falha (leia o relatório completo aqui). “Mas meu código de ética não deixa”, acrescentou. O especialista calcula que pelo menos 58 BTCs foram roubados — um valor de quase R$ 2 milhões. A exchange não confirma o valor.

Trindade contou que começou a perceber que algo estava errado quando notou o volume de reclamações no site Reclame Aqui. Várias mensagens, pelo menos desde dezembro do ano passado, reclamavam da perda súbita de Bitcoins. O vídeo abaixo explica o mecanismo:

“No dia 22 de janeiro, por volta das 19h, eu tinha R$ 36 mil reais. Logo depois, não tinha nada”, disse o segurança bancário Evando Conceição de Oliveira, um dos prejudicados pelo erro.

Basicamente, o que acontecia era que no 2FA da Foxbit o usuário precisava de apenas uma chave para poder trocá-lo. Depois que era desabilitado, era possível reabilitar sem email de confirmação sem fornecer outro 2FA ou nenhum outro dado. Quando a pessoa caia no site de phishing, ela ‘entregava’ a chave e permitia que o hacker tomasse o controle da conta.

“É o equivalente a você ir ao banco, pedir um novo token e o gerente te dar o novo sem nem olhar sua identidade”, disse Trindade.

Tentativa de avisar a Foxbit

Ao descobrir o erro, Trindade disse ter avisado a corretora, com uma sugestão de correção, no dia 29 de março por meio de 2 e-mails, uma mensagem no sistema de suporte e uma mensagem via Facebook. Apenas no dia 12 de abril recebeu uma resposta da Blinktrade, a responsável pela plataforma. A mensagem, porém, não era muito animadora: era apenas um aviso de que seriam necessários mais sete dias para solucionar o problema. O prazo não foi cumprido. Apenas 25 dias depois do aviso, o erro foi resolvido.

A Foxbit e a BlinkTrade, por meio da assessoria de imprensa, afirmam tinha conhecimento do problema antes do contato de Trindade. “O novo procedimento de login e retiradas em bitcoin já estava prevista desde o início de fevereiro”, diz a nota.

“A empresa”, prossegue o texto, “foi informada das primeiras ocorrências em dezembro e desde então tem trabalhado junto à BlinkTrade para reforçar a segurança e orientar os usuários, como mostram post no nosso blog nesse sentido”.

A Foxbit também disse que Natalia Garcia, a diretora jurídica, entrou em contato com Trindade “na sexta-feira (20) para saber mais informações sobre o relatório, visto que é a nossa diretoria jurídica que está cuidando dos casos de phishing e sites falsos”.

Problema das vítimas

Para as vítimas do golpe, o problema vai prosseguir. De acordo com Oliveira, em um primeiro momento o departamento jurídico da Foxbit entrou em contato para fazer um acordo no qual se comprometia a devolver 50% do valor perdido. Oliveira tentou fechar por R$ 24 mil, o valor investido, mas acabou aceitando por R$ 20 mil. O acordo acabou cancelado pela corretora.

A Foxbit afirma que alguns casos estão sendo resolvidos na Justiça e que outros seguem sendo negociados diretamente com os clientes, mas não quis detalhar nenhum.

O problema jurídico entra na questão sobre qual é a responsabilidade do cliente e qual é a da empresa. Uma decisão recente em segunda instância do Tribunal de Justiça de São Paulo, em um caso de internet banking, deu vitória à parte prejudicada.

No processo (nº 0007235-39.2010.8.26.0302) contra o Banco do Brasil, o juiz decidiu que não houve culpa do autor da ação. “No caso dos autos, trata-se de caso fortuito interno, o qual decorre do risco do negócio desempenhado pela instituição financeira”, disse a sentença.

Outras falhas

Essa não é a primeira vez que a Foxbit enfrenta problemas por erros na plataforma da Blinktrade. Em março, a corretora teve problemas com saques duplos. Na ocasião, foram roubados cerca de R$ 1 milhão e a exchange passou 14 dias fora do ar.

Questionada sobre a manutenção da parceira com a BlinkTrade, a exchange disse que ambas empresas “possuem uma parceria comercial regida por um contrato em vigor”. A resposta da assessoria de imprensa também diz que a Blinktrade “não tem responsabilidade nas ocorrências, já que nos casos de phishing, são os usuários que entregam (direta ou indiretamente) suas informações pessoais para terceiros”.