Do amador ao profissional, investir em bitcoins se tornou uma mania ultimamente, em especial quando a moeda virtual atingiu picos de valorização em torno de 1.500% em 2017. Mas em um mercado tão promissor (mesmo diante de tantas especulações e desconfianças), é natural que o mesmo também atraia a atenção de cibercriminosos, não é à toa que incidentes de segurança envolvendo operadoras e usuários têm sido recorrentes.
No começo dessa semana, a Atlas Quantum – que trabalha com arbitragem de bitcoins – confirmou o vazamento de dados dos seus clientes. Diversas publicações mencionam mais de 260 mil usuários que tiveram saldo, nome, e-mail e telefone publicados.
Em um comunicado oficial, Rodrigo Marques, CEO da empresa, destacou que “não se trata de um roubo de bitcoins em custódia ou violações das contas nas exchanges, mas que informações da base de clientes foram expostas”. O executivo informou ainda que tomou medidas preventivas para proteger o banco de dados e as senhas e que chaves privadas permanecem criptografadas.
Ainda neste ano, outra plataforma de bitcoin, a Foxbit, enfrentou uma falha no sistema devido a um bug de Segurança. Segundo um especialista ouvido pelo portal WeBitCoin, uma brecha permitiu que cibercriminosos mudassem as configurações de dupla autenticação para deixá-los de fora de suas próprias contas. Como não havia confirmação por e-mail, foi possível sacar os fundos de alguns usuários.
Uma ameaça em ascensão?
Para Fábio Akita, CEO da Omnitrade, corretora de criptomoedas, sempre existiram incidentes envolvendo moedas virtuais, no entanto, somente agora eles estão mais expostos pela mídia. O executivo acredita que o pico de interesse do ano passado claramente atraiu muito a atenção da população e da imprensa em geral, fator que incentivou o aparecimento repentino de muitas fintechs inexperientes.
“Uma fintech é mais suscetível a ataques do que um e-commerce, porque lida com dinheiro ou valores de terceiros. É como um banco, mas menor, menos experiente e possivelmente um alvo melhor para hackers. Toda empresa recém-criada é necessariamente mais vulnerável, especialmente se não passou pelos ritos necessários, como uma auditoria de segurança, por exemplo”, explica Akita.
Segundo Andre Carraretto, especialista em segurança da Symantec, o interesse pelo tema de fato despertou a atenção de todos os lados. “Mais empresas estão lançando suas exchanges e mais usuários estão fazendo negócios e operações em criptomoedas. Como é um mercado em ascensão, consequentemente aumenta também o interesse dos cibercriminosos”, explica.
Para Wolmer Godoi, diretor de Segurança Cibernética e Serviços Profissionais da CIPHER, tudo relacionado ao mundo financeiro se torna um alvo natural de pessoas que buscam dinheiro fácil. “Bitcoin ganhou fama e notoriedade por sua constante valoração monetária ao longo dos últimos anos. No Brasil, é possível observar o crescimento de fintechs para arbitragem de Bitcoin. Quanto mais empresas, mais sistemas, mais vulnerabilidades e maior a superfície de ataque”.
Na visão de Marcel Mathias, diretor de Pesquisa e Desenvolvimento da BLOCKBIT, muitas fintechs e startups, embora já nasçam com uma proposta de operação digital, podem não ter um nível de maturidade elevado (em termo de tecnologias e de equipe) quando comparadas a outros tipos de empresas. “Muitas fintechs fazem investimentos moderados em segurança, possivelmente abaixo da real necessidade do negócio. E por causa disso podem ser mais suscetíveis aos ataques”, complementa Carraretto.
Práticas mais comuns
Os especialistas ouvidos pela Security Report afirmam que usuários e operadoras estão expostos aos mesmos tipos de ataques que as companhias dos demais segmentos. Segundo Carraretto, os dois principais ataques são criptojacking, que invade a computadores para minerar criptomoedas, e o roubo de carteira, tanto diretamente do usuário quanto na própria Exchange. O Cryptojacking, inclusive, teve em 2017 um aumento de 8.500% em relação ao ano anterior, de acordo com os dados da 23ª edição do Internet Security Threat Report (ISTR), relatório anual de segurança da Symantec.
Sobre responsabilização
A custódia das criptomoedas é responsabilidade do dono da carteira. Se o usuário escolhe guardar ele mesmo, ele precisa cuidar da própria segurança. “Por exemplo, nunca mantenha sua chave privada num arquivo no seu computador. Opte por um papel físico num lugar seguro (um cofre não é exagero). Se sua chave estiver em forma digital em algum lugar do seu computador, caso ele seja invadido, você perde tudo”, sugere Akita.
O executivo explica que fintechs de criptomoedas se responsabilizam pela custódia das criptomoedas no lugar dos usuários, portanto eles também precisam cuidar dessa segurança. E se por acaso elas residem num servidor, diversas medidas são necessárias para evitar que sejam roubadas, incluindo manter boa parte das moedas numa carteira fora da internet. “Existem várias outras recomendações, incluindo políticas internas de segurança, para que funcionários mal-intencionados não causem danos”.
O que os especialistas aconselham
“As exchanges precisam de profissionais especializados para lidar com os riscos e possuir uma estrutura de prevenção e combate a fraudes. Segurança precisa fazer parte de fato da cultura da fintech. É preciso ter um programa claro de maturação de segurança, como execução de testes e correções de vulnerabilidades, bem como programas formais de bug bounty”, sugere Godoi.
“Para os usuários que possuem carteira bitcoin, uma dica valiosa é a utilização de duplo fator de autenticação (como TOKEN ou SMS TOKEN), além de avaliar muito bem com quem estará a custódia da sua carteira de criptomoedas. Para as empresas, maturidade com o tema de segurança da informação é o caminho principal para garantir que não ocorra vazamento”, aconselha Thiago Lima, Engenheiro de Sistemas da A10 Networks.
“Segurança não é um acessório, algo que você pode comprar e instalar e estará seguro. Segurança é uma rotina, que exige constante monitoramento e manutenção. Criptomoedas expõem nossas vulnerabilidades de maneira muito real: você perde dinheiro se ignorar esses aspectos”, conclui Akita.