Saiba quais exchanges são seguras para você comprar ou negociar bitcoin e criptomoedas no Brasil.
aCCESS Security Lab é um grupo White Hat de Offensive Security formado por pesquisadores de segurança, eles testaram as principais exchanges de bitcoin e criptmoedas brasileiras e assim obtiveram dados para formar o ranking abaixo:
Ranking de exchanges brasileiras por ordem de segurança:
2- Profitfy: +1pts
3- PagCripto: -1pts
4- BitcoinTrade: -2pts
5- BTCBolsa: -7pts
6- 3xBit: -9pts
7- Mercado Bitcoin: -22pts
9- NegocieCoins: -24pts
10- Atlas: -38pts
11- Foxbit: -61pts
12- Braziliex: -63pts
O grupo postou em sua página no Facebook, a metodologia de pontuação e seu detalhamento, replicaremos abaixo o conteúdo publicado:
----------
Metodologia de pontuação:
Metodologia de pontuação:
O risco das vulnerabilidades é aferido de acordo com a metodologia CVSS (Common Vulnerability Scoring System https://www.first.org/cvss/user-guide) e depois é aplicada a pontuação em cima da classificação final, de acordo com a tabela abaixo:
Crítica - 15 pts
Grave - 9pts
Grave - 9pts
Média - 6pts
Leve - 3pts
Pontos Fracos - 1pt
Inércia (demorar demais para resolver uma falha) - falha x 2
Incidente - 9pts/caso
não responder clientes atingidos no incidente - 12pts
Foram ao todo 34 vulnerabilidades encontradas nas plataformas de criptos.
Detalhamento das pontuações:
Incidente - 9pts/caso
não responder clientes atingidos no incidente - 12pts
Foram ao todo 34 vulnerabilidades encontradas nas plataformas de criptos.
Detalhamento das pontuações:
1- Walltime: +2 pts
Ainda não encontramos vulnerabilidades na plataforma.
Critérios de desempate:
- Ponto Forte: API usa criptografia assimétrica gerada pelo cliente e não necessita a exchange conhecer a chave privada.
- Ponto Forte: Possui programa de bug bounty
2- Profitfy: +1pts
Ainda não encontramos vulnerabilidades na plataforma.
Critérios de desempate:
- Ponto Forte: Uso (opcional) de autenticação BlockchainID da OriginalMy
3- PagCripto: -1pts
Ainda não encontramos vulnerabilidades na plataforma.
- Ponto Fraco (1pt): Não possuir token contra CSRF.
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não
4- BitcoinTrade: -2pts
- Ponto Fraco (1pt): Api usa token tipo bearer, mais fraco e aquém do padrão de mercado.
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Ponto Fraco (1pt): Chave de API (Bearer) exposta em texto pleno nas sessões logadas, facilita shoulder surfing.
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
5- BTCBolsa: -7pts
- Media (6pts): serviços ssh expostos em ips reais, um deles (de suporte) vulnerável a CVE-2016-6515 e CVE-201616210
- CVE-2016-6515, CVE-201616210
- Avisado? Sim
- Corrigido? Sim
- Ponto Fraco (1pts): IPs reais do sistema expostos devido a má configuração.
- Avisado? Sim
- Corrigido? Sim
6- 3xBit: -9pts
- Medio (6pts): Domínio de Homologação exposto com modo debug do Django ativado vazando informações importantes sobre sistema de produção
- CWE-215, CWE-209, CAPEC-214
- Avisado? Sim
- Corrigido? Sim
- Leve (3pts): Painel de administrador exposto e sem proteção contra Brute-Force
- CWE-307
- Avisado? Sim
- Corrigido? Sim
7- Mercado Bitcoin: -22pts
-Grave (9pts): Domínio de Homologação exposto com modo debug do Django ativado vazando informações importantes sobre sistema de produção, chaves secretas de API, diretórios, S3 Bucket, todos os endpoints, usuários administrativos, banco de dados, trechos de código.
- CWE-215, CWE-209, CAPEC-214
- Avisado? Sim
- Corrigido? Sim
-Leve (3pts): Diretório static com listagem aberta, vaza informações sobre o sistema incluindo endpoints administrativos.
- CWE-548
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não
-Ponto fraco (1pts): Self XSS no Widget da TradingView.
- CWE-548
- Avisado? Sim
- Corrigido? Sim
- Incidente (9pts): Ataque de enumeração de vouchers ocasionou perda de fundos
- Publicado? Sim http://www.newsinside.org/mercado-bitcoin-o-maior-exchange…/
8- NegocieCoins: -24pts
- Crítica (15pts): Exposição de cookies da plataforma financeira em Trace.axd no blog
- CWE-215, CWE-209
- Avisado? Sim
- Corrigido? Sim
- Média (6pts): Content Spoofing no blog
- CWE-345, CAPEC-148
- Avisado? Sim
- Corrigido? Não
- Leve (3pts): API do sistema de emails institucionais aberta, com Content Spoofing
- CWE-345, CAPEC-148
- Avisado? Sim
- Corrigido? Não
9- Atlas: -38pts
- Crítica (15pts): Vazamento do primeiro token de reset de senha, segundo token de reset de 6 números sem captcha, fácil de realizar brute-force
- CWE-200, CWE-640
- Avisado? Sim
- Corrigido? Sim
- Grave (9pts): Implementação de 2FA fraca, login sem 2FA e possibilidade de troca dele sem ter digitado um código.
- CWE-358
- Avisado? Sim
- Corrigido? Sim
- Leve (3pts): Nome de usuário não possui escaping, é possível injetar scripts que podem ser executados no sistema de suporte.
- CWE-116
- Avisado? Sim
- Corrigido? Sim
- Ponto Fraco (1pt): Oráculo de contas no sistema de reset de senha
- CWE-203
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Ponto Fraco (1pt): Oráculo de contas no sistema de cadastro
- CWE-203
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Incidente (9pts): Vazamento de informações sensíveis de 260k clientes.
11- Foxbit: -61pts
- Crítica (15pts): Vazamento de todo o código da plataforma, incluindo chaves privadas de hot wallet.
- CWE-540, CWE-552
- Avisado? Sim
- Corrigido? Sim
- Crítica (15pts): Todos os documentos e fotos de clientes expostos.
- CWE-922
- Avisado? Sim
- Corrigido? Sim
- Grave(9pts): Painel de administração exposto sem proteção contra brute-force.
- CWE-307
- Avisado? Sim
- Corrigido? Sim
- Grave (9pts): XSS Injection refletido em foxbit.exchange
- CWE-79
- Avisado? Sim
- Corrigido? Sim
- Grave (9pts): A plataforma utiliza versão de componentes vulneráveis a ataques de escalas baixas a grave.
- CWE-477
- Avisado? Sim
- Corrigido? Sim
- Leve (3pts): Ao migrar de plataforma o 2FA de alguns clientes foi desligado sem qualquer aviso.
- CWE-308
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Ponto Fraco (1pt): Vazamento do IP real por trás do Cloudfare(institucional)
- CWE-200
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não
11- Braziliex: -63pts
- Crítica (15pts): Token de saque previsível, baseado em tempo
- CWE-341
- Avisado? Sim
- Corrigido? Sim
- Crítica (15pts): Vazamento do token de saques no endpoint de histórico.
- CWE-200
- Avisado? Sim
- Corrigido? Sim
- Grave (9pts): XSS Injection na área de suporte
- CWE-79
- Avisado? Sim
- Corrigido? Sim
- Grave (9ptd): Endpoint de upload de arquivos permite envio arbitrário
- CWE-434
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não
- Grave (9pts): Vazamento de mensagens de suporte de outros clientes no sistema de suporte
- CWE-200
- Avisado? Sim
- Corrigido? Sim
- Média (6pts): Dump de banco de dados exposto.
- CWE-530
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não
OBS: Falhas corrigidas não são removidas do ranking pois consideramos que uma Exchange deixar passar falhas de segurança para produção é evidência de má gestão de qualidade, code review e boas práticas, informação útil para a comunidade na hora de escolher. Não corrigir ou demorar muito no entanto dobrará a pontuação da falha como evidenciado na tabela acima.
----------
COMENTÁRIOS