Codigo-fonte Binance anda a passear

[joker_josue]

Ao que parece a conta Termf no GitHub (https://github.com/Termf), durante vários meses disponibilizou um código fonte antigo da Binance, que dava a indicação como a Binance implementa as suas senhas e autenticação 2FA, não afetado diretamente os utilizadores.

Ao que tudo indica, nenhuma senha de usuário foi exposta, apenas senhas internas. Independente disso, o risco é grande já que se trata de informações do site da corretora, incluindo logins e senhas de seu servidor da AWS.

O repositório já foi removido, a pedido da Binance, e ao que parece o código que estava disponibilizado era uma versão bem antiga, o que poderá ter mantido tudo seguro.

Mas, a pergunta que se coloca é: como é que isso foi parar ao GitHub?
Que nível de segurança existe, para garantir que código fonte não é roubado por funcionários ou ex-funcionários?

[criptoevangelista]

São informações que são adquiridas no submundo da internet, lá tem de tudo a venda, inclusive informações sensíveis de tudo quanto é lugar... tudo e todos (ou quase todos) tem o seu preço, se alguém esta disposto a pagar, tem alguém que faz o trabalho de conseguir.

[bitmover]

Mas, a pergunta que se coloca é: como é que isso foi parar ao GitHub?
Que nível de segurança existe, para garantir que código fonte não é roubado por funcionários ou ex-funcionários?

Provavelmente todos os softwares da binance estão no github ou alguma outra implementação de git , mas de uma forma privada.

Nenhum dev profissional ou empresa trabalha sem git . Impossível.

O que aconteceu aí foi que colocaram algo privado como público.  Provavelmente por ser uma versão muito antiga.

[sabotag3x]

Primeira CEX open-source

Hoje surgiram boatos que dados de clientes da Binance estava à venda na "dark web".. dizem eles que verificaram e os rumores são falsos: https://twitter.com/BinanceHelpDesk/status/1754476895226454284

[mikel_012]

Mas o hacker rouba o codigo e decide colocar no github? Deve ter sido um desenvolvedor por engano

[Paredao]

Tem que investigar isso e punir os responsáveis. Principalmente por se tratar de um exchange séria e que cumpre todos os seus compromissos legais mundo afora. Isso não pode ficar assim. Tem que punir os responsáveis. Como é que fica a reputação da Binance.
Obs*: Contém ironia.

[joker_josue]

O que aconteceu aí foi que colocaram algo privado como público.  Provavelmente por ser uma versão muito antiga.

Pois, talvez.
Até porque eles fizeram a denuncia, e a conta ficou ativa, apenas o repositório foi removido.

[sabotag3x]

O que aconteceu aí foi que colocaram algo privado como público.  Provavelmente por ser uma versão muito antiga.

Pois, talvez.
Até porque eles fizeram a denuncia, e a conta ficou ativa, apenas o repositório foi removido.

O estranho é que é uma conta nova, de 2023.. e só tem coisas da Binance ali.. meio estranho.. parece mais um hacker descuidado do que um funcionário.

[Disruptivas]

Meu maior medo com as questões da Ledger é exatamente isso.
Qualquer dia o código vaza, galera encontra vulnerabilidade e lá se mais mais alguns muitos milhões pro sub-mundo e galera que gosta do setor, se ferra.

Eu sempre penso: DEU SEUS DADOS, se prepare pra eles vazarem.
Confia em um código fechado: tem que estar preparado pra ele vazar.

Unica forma de nao ter os dados vazados, é não disponibilziar eles. E unica forma de nao ter o código vazado, é não ter código pra vazar pq é open source.

[sabotag3x]

Meu maior medo com as questões da Ledger é exatamente isso.
Qualquer dia o código vaza, galera encontra vulnerabilidade e lá se mais mais alguns muitos milhões pro sub-mundo e galera que gosta do setor, se ferra.

Se isso acontecer ninguém vai se salvar.. nem quem anotou a seed no papelzinho e nunca confiou em ninguém..

Tem tanta grana nessas Ledgers que o mercado cairia pra zero.

[joker_josue]

Meu maior medo com as questões da Ledger é exatamente isso.
Qualquer dia o código vaza, galera encontra vulnerabilidade e lá se mais mais alguns muitos milhões pro sub-mundo e galera que gosta do setor, se ferra.

Se isso acontecer ninguém vai se salvar.. nem quem anotou a seed no papelzinho e nunca confiou em ninguém..

Tem tanta grana nessas Ledgers que o mercado cairia pra zero.

Mas para retirar a grana do Ledger tem de ter sempre acesso ao dispositivo.
Então, o roubo só iria ocorrer se o utilizador usar software não oficial ou software malicioso.

Não importa que wallet se usa, a pessoa tem de ter sempre muita atenção a sua navegação web.
Sim, eu sei que a maioria das pessoas não tem cuidado, então haveria muitos a perder dinheiro, sem duvida.

[alegotardo]

Mas, a pergunta que se coloca é: como é que isso foi parar ao GitHub?
Que nível de segurança existe, para garantir que código fonte não é roubado por funcionários ou ex-funcionários?

Meu caro amigo, só quem já trabalhou em uma empresa de tecnologia sabe que nem tudo é tão seguro como as empresas alegam.

Nessas meus ano de entrada eu já vi de tudo, desde senhas fracas, backups sendo feitos em qualquer lugar como um servidor desprotegido ou HDs externos, o desenvolvedor júnior que entra na empresa e logo clonam pra máquina dele todo o fonte do projeto ainda no período de experiência, sem contar os acessos à bancos de dados de homologação com dados não anonimizados (cópia perfeita do banco de dado da produção)
Aí, tu vai ler o contrato que essas empresas fazem com seus clientes, falam que tem trocentas camadas de proteção.... é pra chorrar mesmo (ou rir).

Enfim, jamais saberemos como esse código chegou em domínio público, mas é bem provável que tenha vindo de algum funcionário instatisfeito.
De toda forma, ainda é melhor assim do que aqueles que vendem na surdina essas informações em proveito próprio, e só sabemos dos fatos depois que o comprador já se aproveitou das falhas de segurançca que "descobriu".