Uma coleção de material sensível pertencente à bolsa de criptomoedas Binance, incluindo código e senhas internas, foi supostamente vazada no GitHub – onde ficou disponível publicamente por meses.
De acordo com a 404 Media, o material, postado por uma conta chamada “Termf”, incluía código, diagramas de infraestrutura, senhas internas e outras informações técnicas. Alguns códigos disponíveis no site estariam relacionados à implementação de medidas de segurança pela Binance, incluindo senhas e autenticação multifator (MFA).
Outro material aparentemente incluía senhas para sistemas marcados como “prod”, que provavelmente foram usados como parte do site ao vivo, em vez de ambientes de desenvolvimento ou demonstração.
Os dados foram removidos do GitHub após um pedido de retirada de direitos autorais feito pela Binance na semana passada, confirmando que os dados continham código pertencente à bolsa. O material estava disponível para visualização desde, pelo menos, 5 de janeiro, quando a 404 Media contactou a bolsa a propósito das fugas de informação.
Uma captura de ecrã redigida que mostra o código da Binance que vazou para o GitHub. Fonte: 404 Media
Em seu pedido de retirada de direitos autorais, a Binance disse que o vazamento consistia em um código interno que “representa um risco significativo para a Binance. e causa graves danos financeiros à Binance e confusão / dano ao usuário”.
Em comunicado enviado à TCN, um porta-voz da Binance disse que estava ciente do vazamento, alegando que era “informação muito desatualizada”, que não se assemelha ao que a bolsa tem atualmente em produção e que “representava um risco insignificante para a segurança de nossos usuários, seus ativos ou nossa plataforma”. A informação publicada estava “tão desatualizada que seria inutilizável por terceiros ou atores maliciosos”, acrescentaram.
O porta-voz disse que a Binance emitiu o pedido de retirada para proteger a sua propriedade intelectual e para “aliviar qualquer dano que possa resultar de confusão desnecessária ou receios injustificados sobre a publicação de dados privados”.
