Um usuário da Poloniex, que usa o apelido de “Poloniex2FASucks”, detectou um erro no sistema de segurança da correta e, de acordo com seu relato no Reddit, vendeu as informações já que a empresa não retornou a seus e-mails.

Um usuário da Poloniex, que usa o apelido de “Poloniex2FASucks”, detectou um erro no sistema de segurança da correta e, de acordo com seu relato no Reddit, vendeu as informações já que a empresa não retornou a seus e-mails.

Conforme observado por “Poloniex2FASucks”, ao retirar fundos de sua conta na corretora, ele conseguiu facilmente ignorar a identificação de dois fatores.

“Eu consegui retirar as criptomoedas da conta sem utilizar à identificação de dois fatores, tanto para login quanto para confirmação da retirada de fundos. Retirei-os da conta usando a senha do banco de dados mesclado. Se você abrir um e-mail em um cliente onde as imagens podem ser visualizadas, você pode confirmar a transação de saída”, informou Poloniex2FASucks.

De acordo com o usuário, ele escreveu uma carta ao serviço de suporte da Poloniex sobre a vulnerabilidade encontrada, mas, desde que enviou o e-mail, passaram-se 60 dias e a Poloniex nem se dignou a enviar uma resposta.

“Suponho que eles não tenham interesse em corrigi-lo e fazem-no intencionalmente”, disse o usuário.

Mais tarde, ele anunciou que a informação sobre a vulnerabilidade foi vendida.

“Recebi várias mensagens de outros usuários que também encontraram erros que enviaram ao serviço de suporte e depois foram informados de que não receberiam qualquer prêmio pelas vulnerabilidades descobertas”, informou Poloniex2FASucks. “… Eu posso ser processado, como aconteceu com outros pesquisadores de bugs, então eu decidi em vez disso vender informações sobre a vulnerabilidade”.

A maior parte dos fundos decorrentes da venda do bug será destinada para instituições de caridade e para suporte de desenvolvedores que criam soluções com código aberto.

Finalmente, Poloniex2FASucks escreveu uma nota na qual afirma que não se deve confiar na Poloniex para proteger seus fundos, uma vez que a empresa nem sequer consegue implementar de forma satisfatória a autenticação de dois fatores e configurar corretamente o arquivo robots.txt. Ele também aconselhou a todos os usuários da Poloniex a retirar seus fundos da corretora de criptomoedas o mais rápido possível:

“A Poloniex não é mais segura. Altere suas senhas. Adeus” – acrescentou Poloniex2FASucks.

No início de agosto, a corretora de moedas de criptografia Poloniex atualizou as regras para usar seus serviços. Isso aconteceu no contexto de numerosas queixas dos usuários sobre seu trabalho.