El marketing puede llevarte a decir cosas como que has creado un servicio inhackeable, algo que deja en bastante mal lugar si luego sólo tardan una semana en comprometer su seguridad. Es lo que parece haberle pasado a la cartera de criptodivisas Bitfi, una iniciativa que ha sido apadrinada por el mismísimo John McAfee.
«Sus llaves privadas NUNCA están almacenadas en ningún lugar excepto en tu propio cerebro, y esta es precisamente la razón por la que la cartera de Bitfi es inhackeable». Esa es la promesa que nos encontramos en la web oficial del servicio. Pero un investigador de seguridad holandés que se hace llamar OverSoft ayer dijo haber conseguido vulnerar la seguridad de la cartera, y aunque sin decirlo abiertamente, desde Bitfi le han acabado dando la razón a su manera.
La cartera es un dispositivo físico que cuesta 200 dólares y que te puedes llevar siempre contigo para acceder a tus criptomonedas. OverSoft primero consiguió acceso root al dispositivo demostrando que no es tan seguro como se prometía, y luego consiguió poner en entredicho el modelo de negocio de la propia empresa instalando la aplicación en un ordenador. Vamos, que no era imprescindible comprar la «cartera física» de 200 dólares porque tampoco parece tener ninguna medida de seguridad adicional.
McAfee no quiere darle importancia
Hackers saying they have gained root access to the BitFi wallet. Well whoop-de-do! So what? Root acces to a device with no write or modify capability. That’s as useless as a dentist license un a nuclear power plant. Can you get the money on the wallet? No. That’s what matters.
— John McAfee (@officialmcafee) 2 de agosto de 2018
La reacción de McAfee fue criticar a este investigador y a muchos otros que habían llegado a las mismas conclusiones asegurando que tener acceso root no significaba que se pueda obtener el dinero de la cartera. Esta misma afirmación es la que han esgrimido desde la propia Bitfi cuando alguien les habla de la facilidad de los investigadores para acceder al root.
I’m asked to respond to McAfee’s video about «rooting not being hacking». I don’t want to go into it real deep, mainly because it’s irrelevant.
A serious wallet should be secure, always. Being able to install a keylogger = NOT secure, it can happen before you get the device. 1/?
— OverSoft (@OverSoftNL) 2 de agosto de 2018
El investigador holandés ha respondido al empresario diciendo que el tema de hasta dónde se puede llegar con el root es irrelevante, ya que todo wallet serio debería ser seguro, y si te permite instalar aplicaciones como un Keylogger no lo son.
En cualquier caso, la propia Bitfi ha acabado dando su brazo a torcer anunciando un segundo programa de recompensas para buscar bugs y vulnerabilidades, algo interpretado por la comunidad como la admisión de que necesitan ayuda.
Dear friends, we’re announcing second bounty to help us assist potential security weaknesses of the Bitfi device. We would greatly appreciate assistance from the infosec community, we need help. Here are the bounty conditions: https://t.co/f00POuF1Ov Thank you, Daniel Khesin CEO
— Bitfi (@Bitfi6) 1 de agosto de 2018
Para colmo, no parece que quienes consiguieron rootear inmediatamente el dispositivo vayan a conseguir la prometida recompensa inicial, que en una bravuconada de la empresa acabó subiendo a 250.000 dólares. El segundo programa de recompensas ofrece 10.000 dólares por encontrar vulnerabilidades, una cifra que de paso también apoya la tesis de algunos investigadores de seguridad como el propio OverSoft, que aseguran que la primera era puro marketing.
Vía | The Next Web
En Genbeta | Por qué John McAfee ha doblado sus seguidores de Twitter en una semana y han acabado hackeándole la cuenta