Falhas críticas são descobertas na plataforma Friend Tech

Da Redação
29/09/2023

Pesquisadores da Check Point Research (CPR) conduziram uma análise minuciosa na plataforma web3 Friend[.]tech  tendo encontrado diversas vulnerabilidades de segurança substanciais que, se exploradas, podem fornecer aos cibercriminosos controle sobre o banco de dados da plataforma, acesso a informações privadas do usuário, incluindo conversas privadas na sala de bate-papo, influenciar as classificações e pontos do usuário até o compartilhamento de arquivos e acesso total às informações de propriedade da plataforma. 

“Nós contactamos a equipe Friend[.]tech, no último dia 5 de setembro, para informar sobre nossas descobertas com o objetivo de melhorar a segurança e a proteção da experiência dos usuários da plataforma”, informa Oded Vanunu, gerente de pesquisa de vulnerabilidade de produtos na Check Point Software. “Esta investigação oferece uma visão única dos potenciais riscos e recompensas das plataformas web3 e levanta questões essenciais sobre a segurança e privacidade dos dados na era descentralizada”, alerta.

A Friend[.]tech, o revolucionário ecossistema web3, representa mais que uma plataforma típica de mídia social. É uma das mais recentes plataformas web3, que depende de blockchain e modelos financeiros descentralizados. Opera como um ecossistema descentralizado onde a popularidade de um usuário transcende meros likes e retuítes — é transformada em tokens. “Imagine-a como uma bolsa de valores de personalidade, onde o valor flutua em resposta à dinâmica da oferta e da procura”, explica Vanunu.

Depois de conectar a conta de usuário de Friend[.]tech à conta no X (ex-Twitter) correspondente, a plataforma permite que os usuários se envolvam na negociação de popularidade comprando e vendendo suas “ações”.

Lançada em agosto de 2023, a plataforma entrou em cena gerando entusiasmo na comunidade web3. Em um período relativamente curto, a Friend[.]tech registrou um volume excepcional de 38.884 ETH (Ethereum), totalizando aproximadamente US$ 64,6 milhões, todos distribuídos em 1,5 milhão de transações. Tal desempenho não apenas atraiu atenção, mas solidificou a posição da Friend[.]tech, classificando-a em segundo lugar na atividade global de protocolo on-chain, depois da Ethereum:

Fonte: CPR

A detenção de ações vai além de um esforço financeiro; é um caminho para conteúdo e acesso exclusivos. Ao investir em ações de, digamos, um influenciador do Twitter, o usuário ganha acesso ao seu conteúdo exclusivo, uma sala de bate-papo dedicada e um canal de mensagens diretas. Em essência, ele cria um sistema em camadas baseado em tokens para interação dos fãs.

Veja isso
Nova campanha do Emotet contorna bloqueios da Microsoft
Qbot se consolida como principal malware no Brasil

O que realmente aumenta o valor destes compartilhamentos é o acesso direto e não filtrado que concedem ao usuário. Para as personalidades do Twitter, quanto mais estimada a pessoa se torna, mais acionistas ela atrai. Isso, por sua vez, amplifica o valor do seu token social.

“No entanto, como acontece com todas as coisas novas, pode haver falhas ocultas. Embora a Friend[.]tech ofereça uma maneira única de lucrar com interações sociais, é preciso perguntar: será que a plataforma pode realmente manter nossos dados seguros? Mais importante ainda, será que isso pode garantir que nossos bate-papos permaneçam privados e fora do alcance de espectadores indesejados?”, explica Vanunu. Com a ascensão das plataformas sociais descentralizadas, estas preocupações são cruciais, lembrando a todos que a segurança é importante no mundo digital.

O que os pesquisadores encontraram

A equipe da CPR descobriu e identificou vulnerabilidades críticas que, se exploradas, poderiam dar ao atacante a capacidade de:

• Acessar o banco de dados da Friend[.]tech, fornecendo controle não autorizado sobre diversas funções, incluindo a capacidade de baixar todo o banco de dados.

• Recuperar todos os bate-papos privados que estão atrás de um acesso pago por padrão. Isso significa que as conversas, que deveriam ser visíveis apenas para usuários que pagaram, poderiam ser acessadas e divulgadas sem autorização, o que inclui também arquivos compartilhados no chat (imagens, vídeos etc.)

• Modificar os valores do banco de dados diretamente, especificamente – classificando “pontos” (que são ganhos através da compra/venda de ações de usuários), o que leva a uma parcela maior do lançamento aéreo futuro do aplicativo Friend[.]tech.

Os pesquisadores da Check Point Software recomendam que todos os usuários permaneçam atentos e tenham em mente as melhores práticas de segurança.

Compartilhar: