|
Title: Codigo-fonte Binance anda a passear Post by: joker_josue on February 05, 2024, 02:06:03 PM Ao que parece a conta Termf no GitHub (https://github.com/Termf), durante vários meses disponibilizou um código fonte antigo da Binance, que dava a indicação como a Binance implementa as suas senhas e autenticação 2FA, não afetado diretamente os utilizadores.
Ao que tudo indica, nenhuma senha de usuário foi exposta, apenas senhas internas. Independente disso, o risco é grande já que se trata de informações do site da corretora, incluindo logins e senhas de seu servidor da AWS. O repositório já foi removido, a pedido da Binance, e ao que parece o código que estava disponibilizado era uma versão bem antiga, o que poderá ter mantido tudo seguro. Mas, a pergunta que se coloca é: como é que isso foi parar ao GitHub? Que nível de segurança existe, para garantir que código fonte não é roubado por funcionários ou ex-funcionários? Title: Re: Codigo-fonte Binance anda a passear Post by: criptoevangelista on February 05, 2024, 02:23:01 PM São informações que são adquiridas no submundo da internet, lá tem de tudo a venda, inclusive informações sensíveis de tudo quanto é lugar... tudo e todos (ou quase todos) tem o seu preço, se alguém esta disposto a pagar, tem alguém que faz o trabalho de conseguir.
Title: Re: Codigo-fonte Binance anda a passear Post by: bitmover on February 05, 2024, 03:31:51 PM Mas, a pergunta que se coloca é: como é que isso foi parar ao GitHub? Que nível de segurança existe, para garantir que código fonte não é roubado por funcionários ou ex-funcionários? Provavelmente todos os softwares da binance estão no github ou alguma outra implementação de git , mas de uma forma privada. Nenhum dev profissional ou empresa trabalha sem git . Impossível. O que aconteceu aí foi que colocaram algo privado como público. Provavelmente por ser uma versão muito antiga. Title: Re: Codigo-fonte Binance anda a passear Post by: sabotag3x on February 05, 2024, 04:29:47 PM Primeira CEX open-source :D
Hoje surgiram boatos que dados de clientes da Binance estava à venda na "dark web".. dizem eles que verificaram e os rumores são falsos: https://twitter.com/BinanceHelpDesk/status/1754476895226454284 Title: Re: Codigo-fonte Binance anda a passear Post by: mikel_012 on February 05, 2024, 06:41:15 PM Mas o hacker rouba o codigo e decide colocar no github? Deve ter sido um desenvolvedor por engano
Title: Re: Codigo-fonte Binance anda a passear Post by: Paredao on February 05, 2024, 07:47:44 PM Tem que investigar isso e punir os responsáveis. Principalmente por se tratar de um exchange séria e que cumpre todos os seus compromissos legais mundo afora. Isso não pode ficar assim. Tem que punir os responsáveis. Como é que fica a reputação da Binance.
Obs*: Contém ironia. Title: Re: Codigo-fonte Binance anda a passear Post by: joker_josue on February 05, 2024, 08:31:31 PM O que aconteceu aí foi que colocaram algo privado como público. Provavelmente por ser uma versão muito antiga. Pois, talvez. Até porque eles fizeram a denuncia, e a conta ficou ativa, apenas o repositório foi removido. Title: Re: Codigo-fonte Binance anda a passear Post by: sabotag3x on February 05, 2024, 11:16:01 PM O que aconteceu aí foi que colocaram algo privado como público. Provavelmente por ser uma versão muito antiga. Pois, talvez. Até porque eles fizeram a denuncia, e a conta ficou ativa, apenas o repositório foi removido. O estranho é que é uma conta nova, de 2023.. e só tem coisas da Binance ali.. meio estranho.. parece mais um hacker descuidado do que um funcionário. Title: Re: Codigo-fonte Binance anda a passear Post by: Disruptivas on February 07, 2024, 05:29:46 PM Meu maior medo com as questões da Ledger é exatamente isso.
Qualquer dia o código vaza, galera encontra vulnerabilidade e lá se mais mais alguns muitos milhões pro sub-mundo e galera que gosta do setor, se ferra. Eu sempre penso: DEU SEUS DADOS, se prepare pra eles vazarem. Confia em um código fechado: tem que estar preparado pra ele vazar. Unica forma de nao ter os dados vazados, é não disponibilziar eles. E unica forma de nao ter o código vazado, é não ter código pra vazar pq é open source. Title: Re: Codigo-fonte Binance anda a passear Post by: sabotag3x on February 07, 2024, 05:45:52 PM Meu maior medo com as questões da Ledger é exatamente isso. Qualquer dia o código vaza, galera encontra vulnerabilidade e lá se mais mais alguns muitos milhões pro sub-mundo e galera que gosta do setor, se ferra. Se isso acontecer ninguém vai se salvar.. nem quem anotou a seed no papelzinho e nunca confiou em ninguém.. Tem tanta grana nessas Ledgers que o mercado cairia pra zero. Title: Re: Codigo-fonte Binance anda a passear Post by: joker_josue on February 07, 2024, 07:55:27 PM Meu maior medo com as questões da Ledger é exatamente isso. Qualquer dia o código vaza, galera encontra vulnerabilidade e lá se mais mais alguns muitos milhões pro sub-mundo e galera que gosta do setor, se ferra. Se isso acontecer ninguém vai se salvar.. nem quem anotou a seed no papelzinho e nunca confiou em ninguém.. Tem tanta grana nessas Ledgers que o mercado cairia pra zero. Mas para retirar a grana do Ledger tem de ter sempre acesso ao dispositivo. Então, o roubo só iria ocorrer se o utilizador usar software não oficial ou software malicioso. Não importa que wallet se usa, a pessoa tem de ter sempre muita atenção a sua navegação web. Sim, eu sei que a maioria das pessoas não tem cuidado, então haveria muitos a perder dinheiro, sem duvida. Title: Re: Codigo-fonte Binance anda a passear Post by: alegotardo on February 08, 2024, 12:02:38 AM Mas, a pergunta que se coloca é: como é que isso foi parar ao GitHub? Que nível de segurança existe, para garantir que código fonte não é roubado por funcionários ou ex-funcionários? Meu caro amigo, só quem já trabalhou em uma empresa de tecnologia sabe que nem tudo é tão seguro como as empresas alegam. Nessas meus ano de entrada eu já vi de tudo, desde senhas fracas, backups sendo feitos em qualquer lugar como um servidor desprotegido ou HDs externos, o desenvolvedor júnior que entra na empresa e logo clonam pra máquina dele todo o fonte do projeto ainda no período de experiência, sem contar os acessos à bancos de dados de homologação com dados não anonimizados (cópia perfeita do banco de dado da produção) 8) Aí, tu vai ler o contrato que essas empresas fazem com seus clientes, falam que tem trocentas camadas de proteção.... é pra chorrar mesmo (ou rir). Enfim, jamais saberemos como esse código chegou em domínio público, mas é bem provável que tenha vindo de algum funcionário instatisfeito. De toda forma, ainda é melhor assim do que aqueles que vendem na surdina essas informações em proveito próprio, e só sabemos dos fatos depois que o comprador já se aproveitou das falhas de segurançca que "descobriu". |