A Shuffle, uma das principais plataformas de apostas em criptomoedas, sofreu uma violação de dados depois que sua provedora terceirizada de atendimento ao cliente foi comprometida, expondo os dados da maioria dos seus usuários.
De acordo com uma publicação no X feita na sexta-feira pelo fundador da Shuffle, Noa Dummett, provedora de serviços de gerenciamento de relacionamento com o cliente (CRM) da empresa, a Fast Track, sofreu uma violação de dados que expôs informações de seus usuários. A Shuffle utilizou o serviço em questão para “envio programático de e-mails e diversas comunicações com os usuários”, o que sugere que essas mensagens e endereços de e-mail estavam entre os dados expostos.
“Infelizmente, parece que a violação afetou a maioria dos nossos usuários”, escreveu Dummett. Ele afirmou que a empresa está investigando como a violação ocorreu e “para onde esses dados foram parar”.
A quantidade de dados comprometidos provavelmente é significativa. Segundo o SimilarWeb, o Shuffle ocupava a 12.064ª posição entre os sites mais visitados do mundo no momento da redação. Dummett também inspirou que a empresa buscará alternativas no Fast Track.
“Também analisaremos maneiras de mitigar os riscos existentes em sistemas de terceiros no futuro.”
Nem Dummett nem o Fast Track responderam ao pedido de comentário do Cointelegraph até o momento da publicação.
Violações de dados afetam a indústria criptográfica
Mesmo quando uma violação expõe apenas e-mails ou mensagens de suporte ao cliente, os usuários de criptomoedas enfrentam um risco maior, pois invasores podem usar essas informações em ataques de phishing e engenharia social, fingindo ser exchanges ou carteiras para roubar chaves privados ou fundos. Diferentemente das contas tradicionais, as transações com criptomoedas são irreversíveis, o que significa que um único golpe bem sucedido pode resultar em perda total e permanente.
Um exemplo recente foi o vazamento de um banco de dados contendo informações sensíveis de verificação de idade de mais de 2,1 milhões de usuários (incluindo fotos de documentos), provenientes do Discord, uma plataforma de mensagens externas para o público gamer e popular entre usuários de criptomoedas.
No mês passado, a exchange Crypto.com negou ter fechado em segredo um vazamento de dados de usuários ocorrido em 2023.
Durante o verão, a operadora de caixas eletrônicas de criptomoedas Bitcoin Depot notificou seus usuários sobre uma violação de dados ocorrida em meados de 2024, que expôs informações privadas de quase 27.000 clientes.
A Coinbase também teria sido informada, em janeiro, de que um funcionário de uma empresa terceirizada poderia ter vazado dados de clientes.
Vazamentos de dados criptografados colocam pessoas em risco físico
Outro problema decorrente de vazamentos que permitem a identificação de detentores de criptomoedas é a exposição a ataques conhecidos como ataques de chave inglesa $5. Esse tipo de ataque envolve o roubo de criptomoedas por meio de ameaça ou coerção física, o nome faz referência a ser obtido com uma chave inglesa para revelar a senha, como mostrado em um quadrinho do XKCD.
No fim de agosto, um tribunal anticorrupção da Índia condenou 14 pessoas à prisão perpétua em um caso envolvendo sequestro e extorsão de criptomoedas de um empresário de Surat, ocorrido em 2018. A situação se agravou a tal ponto que Alena Vranova, fundadora da SatoshiLabs, alertou sobre o aumento dos ataques de chaves de $5 e afirmou que “toda semana, há pelo menos um bitcoiner no mundo que é sequestrado, torturado, extorquido e, às vezes, sofre consequências ainda piores”.
O cenário se deteriorou no ponto de custódia de criptomoedas registrando um aumento no interesse por seus serviços, devido à frequência crescente dos chamados ataques de chave de $5, que têm como alvo traders, investidores e líderes de projetos de criptomoedas.
O incidente do Shuffle evidenciou uma fraqueza recorrente em todo o ecossistema das criptomoedas, a dependência de intermediários centralizados que lidam com dados sensíveis dos usuários, e reforça a necessidade de auditorias de segurança mais transparentes e práticas robustas de gestão de gestão risco.
Fontecointelegraph
