Usuarios de Lykke y Hubdex en riesgo por malas prácticas de seguridad de las plataformas criptográficas

Se reveló que las plataformas Lyxxe y Hubdex hicieron pública una variedad de información privada.

Hacker con bitcoins en los ojos
Cualquier persona con habilidades técnicas limitadas podría encontrar formas de manipular las cuentas de los clientes dentro de las plataformas.

Un informe publicado por CyberNews, una publicación independiente de investigación de seguridad cibernética advierte a los entusiastas de las criptomonedas sobre los peligros de realizar transacciones a través de plataformas inseguras. Establece que al menos 18 millones de dólares en criptomonedas han estado expuestas a robos debido a la carente seguridad cibernética de algunas plataformas.

CyberNews reveló dos exchanges con un nivel de seguridad “peligrosamente inseguro:” Lykke y Hubdex.

Lykke, exchange originario de Suiza, reveló sus API keys en una base de datos de acceso público. Las API keys se pueden usar para acceder directamente a un exchange para realizar transacciones. Esto permite que piratas informáticos puedan transferir criptomonedas a sus propias cuentas o interferir en las transacciones realizadas entre otros usuarios.

Además, también se reveló que Lykke había expuesto las claves de acceso (private keys) de las wallets de sus clientes, por lo que la brecha de seguridad de Lykke permitió que cualquier persona pudiera gastar o transferir las criptomonedas de otro usuario sin su conocimiento o consentimiento.

A pesar de que las cuentas de algunos clientes requerían más de una autenticación (multi-signature) antes de disponer de los fondos, la base de datos expuesta por Lykke también filtró la información (redeem scripts y private keys) de esas wallets, lo que pudo permitir que cualquier hacker con conocimiento y habilidades básicas las manipulara.

CyberNews informó que la información expuesta “permitió el acceso directo a los fondos de los usuarios, lo que significa la capacidad de robar esos fondos o manipular cualquier información.”

Lykke respondió al informe inmediatamente haciendo que la base de datos pública fuera privada y contactando a los clientes afectados. La plataforma explicó que la base de datos únicamente estaba disponible en modo de “solo lectura.”

Aseguraron a CyberNews que “no se expusieron datos personales ni se perdieron fondos,” y que estaban tomando medidas adicionales para evitar que tales situaciones se repitan en un futuro.

La plataforma china, Hubdex, también se vio en el ojo del huracán por dejar expuestas 1,1 millones de private keys en una base de datos de acceso público. La capacidad de cambiar las contraseñas también estaba fácilmente disponible, lo que permitió que cualquier parte maliciosa pudiera iniciar sesión en las cuentas de su elección.

Además, expusieron públicamente API keys y credenciales de multi-signature wallets, lo que brinda a los piratas informáticos una variedad de formas de atacar el exchange.

Una preocupación adicional es la enorme cantidad de datos personales que Hubdex dejó expuestos. Dado que los exchanges de criptomonedas están obligados a recopilar datos de su cliente como parte de las regulaciones para evitar el mal manejo de los activos digitales, las identificaciones oficiales, los nombres y las direcciones de los usuarios quedaron expuestos públicamente.

La base de datos se ha desconectado después de que CyberNews tuviera que contactar al Equipo Técnico de Respuesta a Emergencias de la Red Nacional de Computadoras de China (CERT), ante la imposibilidad de comunicarse con el exchange.

Con más de 19.000 exchanges de criptomonedas alrededor del mundo, existe una gran preocupación por la seguridad cibernética y las regulaciones sobre las bases de datos de las plataformas de criptodivisas. La amenaza no es solo para las wallets de los usuarios, sino también para sus identidades y seguridad personal.

FOREX.com
LonghornFX
CEX.IO