Ranking de Segurança das exchanges de criptomoedas brasileiras 2019

COMPARTILHAR:

Whatsapp Telegram Twitter Facebook Reddit

Saiba quais exchanges são seguras para você comprar ou negociar bitcoin e criptomoedas no Brasil.


aCCESS Security Lab é um grupo White Hat de Offensive Security formado por pesquisadores de segurança, eles testaram as principais exchanges de bitcoin e criptmoedas brasileiras e assim obtiveram dados para formar o ranking abaixo:

Ranking de exchanges brasileiras por ordem de segurança:

1- Walltime: +2 pts
2- Profitfy: +1pts
3- PagCripto: -1pts
4- BitcoinTrade: -2pts
5- BTCBolsa: -7pts
6- 3xBit: -9pts
7- Mercado Bitcoin: -22pts
9- NegocieCoins: -24pts
10- Atlas: -38pts
11- Foxbit: -61pts
12- Braziliex: -63pts

O grupo postou em sua página no Facebook, a metodologia de pontuação e seu detalhamento, replicaremos abaixo o conteúdo publicado:

----------

Metodologia de pontuação:

O risco das vulnerabilidades é aferido de acordo com a metodologia CVSS (Common Vulnerability Scoring System https://www.first.org/cvss/user-guide) e depois é aplicada a pontuação em cima da classificação final, de acordo com a tabela abaixo:


Crítica - 15 pts
Grave - 9pts
Média - 6pts
Leve - 3pts
Pontos Fracos - 1pt

Inércia (demorar demais para resolver uma falha) - falha x 2
Incidente - 9pts/caso
não responder clientes atingidos no incidente - 12pts

Foram ao todo 34 vulnerabilidades encontradas nas plataformas de criptos.

Detalhamento das pontuações:
1- Walltime: +2 pts

Ainda não encontramos vulnerabilidades na plataforma.
Critérios de desempate:
- Ponto Forte: API usa criptografia assimétrica gerada pelo cliente e não necessita a exchange conhecer a chave privada.
- Ponto Forte: Possui programa de bug bounty

2- Profitfy: +1pts

Ainda não encontramos vulnerabilidades na plataforma.
Critérios de desempate:
- Ponto Forte: Uso (opcional) de autenticação BlockchainID da OriginalMy

3- PagCripto: -1pts

Ainda não encontramos vulnerabilidades na plataforma.
- Ponto Fraco (1pt): Não possuir token contra CSRF.
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não

4- BitcoinTrade: -2pts

- Ponto Fraco (1pt): Api usa token tipo bearer, mais fraco e aquém do padrão de mercado.
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Ponto Fraco (1pt): Chave de API (Bearer) exposta em texto pleno nas sessões logadas, facilita shoulder surfing.
- Avisado? Sim
- Corrigido? Não
- Publicado? Não

5- BTCBolsa: -7pts

- Media (6pts): serviços ssh expostos em ips reais, um deles (de suporte) vulnerável a CVE-2016-6515 e CVE-201616210
- CVE-2016-6515, CVE-201616210 
- Avisado? Sim
- Corrigido? Sim
- Ponto Fraco (1pts): IPs reais do sistema expostos devido a má configuração.
- Avisado? Sim
- Corrigido? Sim

6- 3xBit: -9pts

- Medio (6pts): Domínio de Homologação exposto com modo debug do Django ativado vazando informações importantes sobre sistema de produção
- CWE-215, CWE-209, CAPEC-214
- Avisado? Sim
- Corrigido? Sim
- Leve (3pts): Painel de administrador exposto e sem proteção contra Brute-Force
- CWE-307
- Avisado? Sim
- Corrigido? Sim

7- Mercado Bitcoin: -22pts

-Grave (9pts): Domínio de Homologação exposto com modo debug do Django ativado vazando informações importantes sobre sistema de produção, chaves secretas de API, diretórios, S3 Bucket, todos os endpoints, usuários administrativos, banco de dados, trechos de código.
- CWE-215, CWE-209, CAPEC-214
- Avisado? Sim
- Corrigido? Sim
-Leve (3pts): Diretório static com listagem aberta, vaza informações sobre o sistema incluindo endpoints administrativos.
- CWE-548
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não
-Ponto fraco (1pts): Self XSS no Widget da TradingView.
- CWE-548
- Avisado? Sim
- Corrigido? Sim
- Incidente (9pts): Ataque de enumeração de vouchers ocasionou perda de fundos

8- NegocieCoins: -24pts

- Crítica (15pts): Exposição de cookies da plataforma financeira em Trace.axd no blog
- CWE-215, CWE-209
- Avisado? Sim
- Corrigido? Sim
- Média (6pts): Content Spoofing no blog
- CWE-345, CAPEC-148
- Avisado? Sim
- Corrigido? Não
- Leve (3pts): API do sistema de emails institucionais aberta, com Content Spoofing
- CWE-345, CAPEC-148
- Avisado? Sim
- Corrigido? Não

9- Atlas: -38pts

- Crítica (15pts): Vazamento do primeiro token de reset de senha, segundo token de reset de 6 números sem captcha, fácil de realizar brute-force
- CWE-200, CWE-640
- Avisado? Sim
- Corrigido? Sim
- Grave (9pts): Implementação de 2FA fraca, login sem 2FA e possibilidade de troca dele sem ter digitado um código.
- CWE-358
- Avisado? Sim
- Corrigido? Sim
- Leve (3pts): Nome de usuário não possui escaping, é possível injetar scripts que podem ser executados no sistema de suporte.
- CWE-116
- Avisado? Sim
- Corrigido? Sim
- Ponto Fraco (1pt): Oráculo de contas no sistema de reset de senha
- CWE-203
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Ponto Fraco (1pt): Oráculo de contas no sistema de cadastro
- CWE-203
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Incidente (9pts): Vazamento de informações sensíveis de 260k clientes.

11- Foxbit: -61pts

- Crítica (15pts): Vazamento de todo o código da plataforma, incluindo chaves privadas de hot wallet.
- CWE-540, CWE-552
- Avisado? Sim
- Corrigido? Sim
- Crítica (15pts): Todos os documentos e fotos de clientes expostos.
- CWE-922
- Avisado? Sim
- Corrigido? Sim
- Grave(9pts): Painel de administração exposto sem proteção contra brute-force.
- CWE-307
- Avisado? Sim
- Corrigido? Sim
- Grave (9pts): XSS Injection refletido em foxbit.exchange
- CWE-79
- Avisado? Sim
- Corrigido? Sim
- Grave (9pts): A plataforma utiliza versão de componentes vulneráveis a ataques de escalas baixas a grave.
- CWE-477
- Avisado? Sim
- Corrigido? Sim
- Leve (3pts): Ao migrar de plataforma o 2FA de alguns clientes foi desligado sem qualquer aviso.
- CWE-308
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Ponto Fraco (1pt): Vazamento do IP real por trás do Cloudfare(institucional)
- CWE-200
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não

11- Braziliex: -63pts

- Crítica (15pts): Token de saque previsível, baseado em tempo
- CWE-341
- Avisado? Sim
- Corrigido? Sim
- Crítica (15pts): Vazamento do token de saques no endpoint de histórico.
- CWE-200
- Avisado? Sim
- Corrigido? Sim
- Grave (9pts): XSS Injection na área de suporte
- CWE-79
- Avisado? Sim
- Corrigido? Sim
- Grave (9ptd): Endpoint de upload de arquivos permite envio arbitrário
- CWE-434
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não
- Grave (9pts): Vazamento de mensagens de suporte de outros clientes no sistema de suporte
- CWE-200
- Avisado? Sim
- Corrigido? Sim
- Média (6pts): Dump de banco de dados exposto.
- CWE-530
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não

OBS: Falhas corrigidas não são removidas do ranking pois consideramos que uma Exchange deixar passar falhas de segurança para produção é evidência de má gestão de qualidade, code review e boas práticas, informação útil para a comunidade na hora de escolher. Não corrigir ou demorar muito no entanto dobrará a pontuação da falha como evidenciado na tabela acima.
----------

COMENTÁRIOS

Nome

#ann,25,#HK,30,#LTCode,130,Artigo - Diversos,156,Artigo - Games,201,Artigo - Tecnologia,615,autor-thomaz,7,Coluna - Alternative World,24,Coluna - Fail,12,Coluna - Tec Line,14,Criptomoeda,72,Curiosidades - Diversos,49,Curiosidades - Tecnologia,50,en,2,estudo,8,HN,12,logica,14,Pentest,23,Programar C,29,Programar POO,6,Programar Python,6,Programar Shell,25,Programar verilog,12,qradar,4,Raspberry Pi,15,Redes,3,root,117,Shorty Awards,1,Smartphones - Reviews,33,Teoria,10,Top Nostalgia,2,VPN,19,WhatsApp,46,
ltr
item
Limon Tec: Ranking de Segurança das exchanges de criptomoedas brasileiras 2019
Ranking de Segurança das exchanges de criptomoedas brasileiras 2019
Saiba quais exchanges são seguras para você comprar ou negociar bitcoin e criptomoedas no Brasil.
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgjafsVll8Yfsiqy7505Al6WhDS042Vnm4am0FM9i40ZqbGLgHWcuqj0OrxO4-obZsfaBWdB_B3A9zLCFA53itxlxV-QHOCyfQceHgF7JjXotxUjdtNqo-bRlyIPm15sQsWpRUe7etTZJUQ/s400/accesssecuritylab-ranking+%25281%2529.png
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgjafsVll8Yfsiqy7505Al6WhDS042Vnm4am0FM9i40ZqbGLgHWcuqj0OrxO4-obZsfaBWdB_B3A9zLCFA53itxlxV-QHOCyfQceHgF7JjXotxUjdtNqo-bRlyIPm15sQsWpRUe7etTZJUQ/s72-c/accesssecuritylab-ranking+%25281%2529.png
Limon Tec
https://www.limontec.com/2019/05/ranking-de-seguranca-das-exchanges-no-brasil.html
https://www.limontec.com/
https://www.limontec.com/
https://www.limontec.com/2019/05/ranking-de-seguranca-das-exchanges-no-brasil.html
false
2157924926610706248
UTF-8
Carregar todos posts Não encontramos nenhum post VER TUDO Ler mais Responder Cancelar resposta Deletar Por Home PÁGINAS POSTS Ver tudo RECOMENDADO PARA VOCÊ LABEL ARQUIVO SEARCH TODOS POSTS Não encontramos nenhum post relacionado a sua requisição VOLTAR PÁGINA INICIAL Domingo Segunda Terça Quarta Quinta Sexta Sábado Dom Seg Ter Qua Qui Sex Sab Janeiro Fevereiro Março Abril Maio Junho Julho Agosto Setembro Outubro Novembro Dezembro Jan Fev Mar Abr Maio Jun Jul Ago Set Out Nov Dez apenas agora 1 minuto atrás $$1$$ minutes ago 1 hora atrás $$1$$ hours ago Ontem $$1$$ days ago $$1$$ weeks ago mais de 5 semanas atrás Seguidores Seguir ESTE CONTEÚDO ESTÁ BLOQUEADO PASSO 1: Compartilhe com seus amigos PASSO 2: Clique no link compartilhado Copiar Todo Código Selecionar Todo Código Todos códigos foram copiados para seu clipboard Não é possível copiar códigos / textos, por favor aperte [CTRL]+[C] (ou CMD+C no Mac) para copiar Tabela de conteúdo