Há algumas semanas a Kraken diz ter sido contactada a propósito de uma vulnerabilidade crítica que permitia que os clientes pudessem aumentar o seu saldo artificialmente. A falha permitia iniciar uma transferência para carregar a conta, e ficar temporariamente com o valor total, mesmo que a transferência falhasse e não fosse completada.
A equipa de segurança da Kraken diz ter detectado três utilizadores que se aproveitaram desta falha, todas elas associadas à pessoa que reportou o bug. Uma delas tendo feito um depósito de $4 para efeito de demonstração da falha, mas as outras duas tendo-se aproveitado do bug para levantarem 3 milhões de dólares de fundos não existentes. A Kraken diz ter contactado os investigadores, mas que estes se recusam a devolver o dinheiro, dizendo que primeiro terão que negociar o valor da recompensa pela descoberta da vulnerabilidade, tendo em conta o enorme risco que tinha para a Kraken.
Embora neste caso pareça não haver dúvidas quanto ao aproveitamente indevido da vulnerabilidades, nos últimos tempos têm surgido diversos relatos de investigadores de segurança que, depois de terem reportado falhas graves, vêem as respectivas empresas (que anunciam ter planos de pagamento de recompensas "bug bounty") esquivarem-se ao pagamento, arrastando o processo durante meses e depois dizendo que afinal a falha não era assim tão grave, ou até mesmo recorrendo à também habitual táctiva de os tentar silenciar por meio dos "Cease and Desist" e ameaçando reportá-los às autoridades por hacking malicioso. Situações que podem levar a que estas falhas acabem por ser vendidas a grupos de hackers para exploração maliciosa.
Sem comentários:
Enviar um comentário (problemas a comentar?)