Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Vulnerabilidades críticas na plataforma Friend Tech

Share on linkedin
Share on twitter
Share on facebook

Os pesquisadores da Check Point Software analisaram minuciosamente a plataforma web3 da Friend[.]tech e encontraram diversas vulnerabilidades de segurança por meio das quais os atacantes poderiam ter controle sobre o banco de dados da plataforma além de acesso a informações privadas do usuário

São Paulo, 28 de setembro de 2023 – A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, acaba de divulgar mais uma de suas análises as quais se pode modelar a forma como vemos as plataformas sociais baseadas em blockchain.

Os pesquisadores da CPR conduziram uma análise minuciosa na plataforma web3 da Friend[.]tech tendo encontrado diversas vulnerabilidades de segurança substanciais que, se exploradas, poderiam fornecer aos cibercriminosos controle sobre o banco de dados da plataforma, acesso a informações privadas do usuário, incluindo conversas privadas na sala de bate-papo, influenciar as classificações e pontos do usuário até o compartilhamento de arquivos e acesso total às informações de propriedade da Friend[.]Tech.

“Nós contactamos a equipe Friend[.]tech, no último dia 05 de setembro, para informar sobre nossas descobertas com o objetivo de melhorar a segurança e a proteção da experiência dos usuários da plataforma”, informa Oded Vanunu, gerente de Pesquisa de Vulnerabilidade de Produtos na Check Point Software. “Esta investigação oferece uma visão única dos potenciais riscos e recompensas das plataformas web3 e levanta questões essenciais sobre a segurança e privacidade dos dados na era descentralizada”, alerta Vanunu.

Friend[.]tech: muito mais que outra plataforma de mídia social

Friend[.]tech, o revolucionário ecossistema web3, representa mais que uma plataforma típica de mídia social. É uma das mais recentes plataformas web3, que depende de blockchain e modelos financeiros descentralizados. Opera como um ecossistema descentralizado onde a popularidade de um usuário transcende meros likes e retuítes – é transformada em tokens. “Imagine-a como uma bolsa de valores de personalidade, onde o valor flutua em resposta à dinâmica da oferta e da procura”, explica Vanunu.

Depois de conectar a conta de usuário de Friend[.]tech à conta na X correspondente (anteriormente Twitter), a plataforma permite que os usuários se envolvam na negociação de popularidade comprando e vendendo suas “ações”.

Lançada em agosto de 2023, a plataforma entrou em cena gerando entusiasmo na comunidade web3. Em um período relativamente curto, a Friend[.]tech registrou um volume excepcional de 38.884 ETH, totalizando aproximadamente US$ 64,6 milhões, todos distribuídos em 1,5 milhão de transações. Tal desempenho não apenas atraiu atenção, mas solidificou a posição da Friend[.]tech, classificando-a em segundo lugar na atividade global de protocolo on-chain, depois da Ethereum:

Clique Para Download

A detenção de ações vai além de um esforço financeiro; é um caminho para conteúdo e acesso exclusivos. Ao investir em ações de, digamos, um influenciador do Twitter, o usuário ganha acesso ao seu conteúdo exclusivo, uma sala de bate-papo dedicada e um canal de mensagens diretas. Em essência, ele cria um sistema em camadas baseado em tokens para interação dos fãs.

O que realmente aumenta o valor destes compartilhamentos é o acesso direto e não filtrado que concedem ao usuário. Para as personalidades do Twitter, quanto mais estimada a pessoa se torna, mais acionistas ela atrai. Isso, por sua vez, amplifica o valor do seu token social.

“No entanto, como acontece com todas as coisas novas, pode haver falhas ocultas. Embora a Friend[.]tech ofereça uma maneira única de lucrar com interações sociais, é preciso perguntar: será que a plataforma pode realmente manter nossos dados seguros? Mais importante ainda, será que isso pode garantir que nossos bate-papos permaneçam privados e fora do alcance de espectadores indesejados?”, explica Vanunu. Com a ascensão das plataformas sociais descentralizadas, estas preocupações são cruciais, lembrando a todos que a segurança é importante no mundo digital.

O que os pesquisadores encontraram?

A equipe da CPR descobriu e identificou vulnerabilidades críticas que, se exploradas, poderiam dar ao atacante a capacidade de:

• Acessar o banco de dados da Friend[.]tech, fornecendo controle não autorizado sobre diversas funções, incluindo a capacidade de baixar todo o banco de dados.

• Recuperar todos os bate-papos privados que estão atrás de um acesso pago por padrão. Isso significa que as conversas, que deveriam ser visíveis apenas para usuários que pagaram, poderiam ser acessadas e divulgadas sem autorização, o que inclui também arquivos compartilhados no chat (imagens, vídeos etc.)

• Modificar os valores do banco de dados diretamente, especificamente – classificando “pontos” (que são ganhos através da compra/venda de ações de usuários), o que leva a uma parcela maior do lançamento aéreo futuro do aplicativo Friend[.]tech.

Os pesquisadores da Check Point Software recomendam que todos os usuários permaneçam atentos e tenham em mente as melhores práticas de segurança.