Shuffle, uma plataforma de apostas em criptomoedas líder, sofreu uma violação de dados após a sua prestadora de serviços ao cliente de terceiros ter sido comprometida, expondo os dados da maioria dos seus utilizadores.

De acordo com uma publicação de sexta-feira no X do fundador da Shuffle, Noa Dummett, o fornecedor de serviços de gestão de relacionamento com clientes (CRM) da empresa, Fast Track, sofreu uma violação de dados que expôs os dados dos seus utilizadores. A Shuffle utilizou o serviço em questão para "envio programático de e-mails e várias comunicações com os utilizadores", sugerindo que essas mensagens e endereços de e-mail estavam provavelmente entre os dados expostos.

"Infelizmente, parece que a violação afetou a maioria dos nossos usuários," escreveu Dummett. Ele disse que a empresa estava a investigar como ocorreu a violação e "onde estes dados foram parar."

A quantidade de dados provavelmente será significativa. De acordo com a SimilarWeb, o Shuffle era o 12.064º site mais visitado do mundo no momento da escrita. Dummett também observou que a empresa estará à procura de alternativas ao Fast Track. "Nós também estaremos a procurar formas de mitigar os riscos que existem com sistemas de 3ª parte no futuro."

Nem Dummett nem Fast Track responderam a um pedido de comentário até à hora de publicação.

As violações de dados afetam a indústria cripto

Mesmo que uma violação de dados apenas exponha e-mails ou mensagens de suporte ao cliente, os usuários de criptomoedas enfrentam um risco aumentado, pois os atacantes podem usar essas informações para phishing e engenharia social --- impersonando exchanges ou carteiras para roubar chaves privadas ou fundos. Ao contrário das contas tradicionais, as transações de criptomoedas são irreversíveis, o que significa que um único golpe bem-sucedido pode resultar em uma perda total e permanente.

Um exemplo recente foi a base de dados contendo os dados sensíveis de verificação de idade de mais de 2,1 milhões de utilizadores ( incluindo fotos de documentos ) que foram vazados do Discord, uma plataforma de mensagens de jogos popular entre os utilizadores de criptomoedas.

No mês passado, uma certa bolsa de criptomoedas negou que mantivesse em segredo uma violação de dados de 2023 com detalhes dos usuários.

Durante o verão, o operador de ATM de criptomoedas Bitcoin Depot notificou os seus utilizadores sobre uma violação de dados ocorrida em meados de 2024 que expôs as informações privadas de quase 27.000 clientes.

Uma grande plataforma de criptomoedas também foi informada em janeiro que um funcionário de uma empresa de terceirização pode ter vazado dados de clientes.

Vazamentos de dados cripto colocam pessoas em perigo físico

Outro problema decorrente do vazamento de dados que pode levar à identificação de detentores de criptomoedas expõe-os a chamados ataques com a chave inglesa $5 . Este tipo de ataque envolve roubar a criptomoeda de alguém ameaçando ou coagindo fisicamente essa pessoa; o nome refere-se a ser atingido com uma chave inglesa para revelar a senha de alguém, como ilustrado em uma tira do XKCD.

No final de agosto, um tribunal indiano anti-corrupção condenou 14 indivíduos a prisão perpétua em um caso envolvendo o sequestro e extorsão de cripto de um empresário baseado em Surat em 2018. A situação ficou tão ruim que Alena Vranova, fundadora da SatoshiLabs, alertou sobre o aumento dos ataques com $5 chave de grifo e afirmou que "toda semana, há um Bitcoiner, pelo menos um no mundo, que é sequestrado, torturado, extorquido e às vezes até pior."

A situação deteriorou-se a tal ponto que os custodianos de criptomoedas estão a experienciar um aumento do interesse pelos seus serviços devido à crescente frequência dos chamados "$5 wrench attacks" que visam comerciantes de criptomoedas, investidores e líderes de projetos.

O incidente Shuffle destaca uma fraqueza recorrente em todo o ecossistema de criptomoedas --- intermediários centralizados lidando com dados sensíveis dos usuários --- e sublinha a necessidade de auditorias de segurança mais transparentes e práticas de gestão de risco.