Author

Topic: Codigo-fonte Binance anda a passear (Read 111 times)

legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
February 07, 2024, 07:02:38 PM
#12
Mas, a pergunta que se coloca é: como é que isso foi parar ao GitHub?
Que nível de segurança existe, para garantir que código fonte não é roubado por funcionários ou ex-funcionários?

Meu caro amigo, só quem já trabalhou em uma empresa de tecnologia sabe que nem tudo é tão seguro como as empresas alegam.

Nessas meus ano de entrada eu já vi de tudo, desde senhas fracas, backups sendo feitos em qualquer lugar como um servidor desprotegido ou HDs externos, o desenvolvedor júnior que entra na empresa e logo clonam pra máquina dele todo o fonte do projeto ainda no período de experiência, sem contar os acessos à bancos de dados de homologação com dados não anonimizados (cópia perfeita do banco de dado da produção) Cool
Aí, tu vai ler o contrato que essas empresas fazem com seus clientes, falam que tem trocentas camadas de proteção.... é pra chorrar mesmo (ou rir).

Enfim, jamais saberemos como esse código chegou em domínio público, mas é bem provável que tenha vindo de algum funcionário instatisfeito.
De toda forma, ainda é melhor assim do que aqueles que vendem na surdina essas informações em proveito próprio, e só sabemos dos fatos depois que o comprador já se aproveitou das falhas de segurançca que "descobriu".
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
February 07, 2024, 02:55:27 PM
#11
Meu maior medo com as questões da Ledger é exatamente isso.
Qualquer dia o código vaza, galera encontra vulnerabilidade e lá se mais mais alguns muitos milhões pro sub-mundo e galera que gosta do setor, se ferra.

Se isso acontecer ninguém vai se salvar.. nem quem anotou a seed no papelzinho e nunca confiou em ninguém..

Tem tanta grana nessas Ledgers que o mercado cairia pra zero.

Mas para retirar a grana do Ledger tem de ter sempre acesso ao dispositivo.
Então, o roubo só iria ocorrer se o utilizador usar software não oficial ou software malicioso.

Não importa que wallet se usa, a pessoa tem de ter sempre muita atenção a sua navegação web.
Sim, eu sei que a maioria das pessoas não tem cuidado, então haveria muitos a perder dinheiro, sem duvida.
legendary
Activity: 2688
Merit: 2297
February 07, 2024, 12:45:52 PM
#10
Meu maior medo com as questões da Ledger é exatamente isso.
Qualquer dia o código vaza, galera encontra vulnerabilidade e lá se mais mais alguns muitos milhões pro sub-mundo e galera que gosta do setor, se ferra.

Se isso acontecer ninguém vai se salvar.. nem quem anotou a seed no papelzinho e nunca confiou em ninguém..

Tem tanta grana nessas Ledgers que o mercado cairia pra zero.
legendary
Activity: 1428
Merit: 1568
February 07, 2024, 12:29:46 PM
#9
Meu maior medo com as questões da Ledger é exatamente isso.
Qualquer dia o código vaza, galera encontra vulnerabilidade e lá se mais mais alguns muitos milhões pro sub-mundo e galera que gosta do setor, se ferra.

Eu sempre penso: DEU SEUS DADOS, se prepare pra eles vazarem.
Confia em um código fechado: tem que estar preparado pra ele vazar.

Unica forma de nao ter os dados vazados, é não disponibilziar eles. E unica forma de nao ter o código vazado, é não ter código pra vazar pq é open source.
legendary
Activity: 2688
Merit: 2297
February 05, 2024, 06:16:01 PM
#8
O que aconteceu aí foi que colocaram algo privado como público.  Provavelmente por ser uma versão muito antiga.

Pois, talvez.
Até porque eles fizeram a denuncia, e a conta ficou ativa, apenas o repositório foi removido.

O estranho é que é uma conta nova, de 2023.. e só tem coisas da Binance ali.. meio estranho.. parece mais um hacker descuidado do que um funcionário.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
February 05, 2024, 03:31:31 PM
#7
O que aconteceu aí foi que colocaram algo privado como público.  Provavelmente por ser uma versão muito antiga.

Pois, talvez.
Até porque eles fizeram a denuncia, e a conta ficou ativa, apenas o repositório foi removido.
legendary
Activity: 3304
Merit: 1617
February 05, 2024, 02:47:44 PM
#6
Tem que investigar isso e punir os responsáveis. Principalmente por se tratar de um exchange séria e que cumpre todos os seus compromissos legais mundo afora. Isso não pode ficar assim. Tem que punir os responsáveis. Como é que fica a reputação da Binance.
Obs*: Contém ironia.
member
Activity: 109
Merit: 15
February 05, 2024, 01:41:15 PM
#5
Mas o hacker rouba o codigo e decide colocar no github? Deve ter sido um desenvolvedor por engano
legendary
Activity: 2688
Merit: 2297
February 05, 2024, 11:29:47 AM
#4
Primeira CEX open-source Cheesy

Hoje surgiram boatos que dados de clientes da Binance estava à venda na "dark web".. dizem eles que verificaram e os rumores são falsos: https://twitter.com/BinanceHelpDesk/status/1754476895226454284
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
February 05, 2024, 10:31:51 AM
#3
Mas, a pergunta que se coloca é: como é que isso foi parar ao GitHub?
Que nível de segurança existe, para garantir que código fonte não é roubado por funcionários ou ex-funcionários?

Provavelmente todos os softwares da binance estão no github ou alguma outra implementação de git , mas de uma forma privada.

Nenhum dev profissional ou empresa trabalha sem git . Impossível.

O que aconteceu aí foi que colocaram algo privado como público.  Provavelmente por ser uma versão muito antiga.
sr. member
Activity: 448
Merit: 688
In ₿ we trust
February 05, 2024, 09:23:01 AM
#2
São informações que são adquiridas no submundo da internet, lá tem de tudo a venda, inclusive informações sensíveis de tudo quanto é lugar... tudo e todos (ou quase todos) tem o seu preço, se alguém esta disposto a pagar, tem alguém que faz o trabalho de conseguir.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
February 05, 2024, 09:06:03 AM
#1
Ao que parece a conta Termf no GitHub (https://github.com/Termf), durante vários meses disponibilizou um código fonte antigo da Binance, que dava a indicação como a Binance implementa as suas senhas e autenticação 2FA, não afetado diretamente os utilizadores.

Ao que tudo indica, nenhuma senha de usuário foi exposta, apenas senhas internas. Independente disso, o risco é grande já que se trata de informações do site da corretora, incluindo logins e senhas de seu servidor da AWS.

O repositório já foi removido, a pedido da Binance, e ao que parece o código que estava disponibilizado era uma versão bem antiga, o que poderá ter mantido tudo seguro.

Mas, a pergunta que se coloca é: como é que isso foi parar ao GitHub?
Que nível de segurança existe, para garantir que código fonte não é roubado por funcionários ou ex-funcionários?
Jump to: