Una raccolta di materiale sensibile appartenente alla borsa di criptovalute Binance, tra cui codice e password interne, sarebbe trapelata su GitHub, dove è stata pubblicamente disponibile per mesi.
Secondo 404 Media, il materiale, pubblicato da un account chiamato “Termf”, comprendeva codice, diagrammi dell’infrastruttura, password interne e altre informazioni tecniche. Alcuni codici disponibili sul sito sarebbero relativi all’implementazione delle misure di sicurezza di Binance, tra cui password e autenticazione a più fattori (MFA).
Altro materiale avrebbe incluso password per sistemi contrassegnati come “prod”, che probabilmente sono stati utilizzati come parte del sito live piuttosto che in ambienti di sviluppo o dimostrativi.
I dati sono stati rimossi da GitHub in seguito a una richiesta di rimozione del copyright presentata da Binance la scorsa settimana, che ha confermato che i dati contenevano codice appartenente alla borsa. Il materiale era disponibile almeno dal 5 gennaio, quando 404 Media ha contattato la borsa in merito alla fuga di notizie.
Uno screenshot redatto che mostra il codice di Binance trapelato su GitHub. Fonte: 404 Media
Nella sua richiesta di rimozione del copyright, Binance ha dichiarato che la fuga di notizie consisteva in un codice interno che “rappresenta un rischio significativo per Binance e causa gravi danni finanziari a Binance e confusione/danni agli utenti”.
In una dichiarazione inviata al TCN, un portavoce di Binance ha affermato di essere a conoscenza della fuga di notizie, sostenendo che si trattava di “informazioni molto datate”, che non assomigliavano a ciò che l’exchange ha attualmente in produzione e che “rappresentavano un rischio trascurabile per la sicurezza dei nostri utenti, dei loro asset o della nostra piattaforma”. Le informazioni pubblicate erano “così obsolete che sarebbero state inutilizzabili da terze parti o da attori malintenzionati”, hanno aggiunto.
Il portavoce ha dichiarato che Binance ha emesso la richiesta di rimozione sia per proteggere la sua proprietà intellettuale, sia per “alleviare qualsiasi danno che potrebbe derivare da un’inutile confusione o da timori ingiustificati riguardo alla pubblicazione di dati privati”.
