Os temperos brilhando enquanto a saga da Moon Technologies continua. A saga Moon Technologies continua a ressurdar com um e-mail a aparecer no Reddit supostamente do CEO da Lua Kenneth Kruger para os titulares de contas Moon.
Coin Rivet informou ontem que o co-fundador e ex-CTO da Moon Technologies Alexander Ang deixou a empresa devido a desentendimentos sobre a privacidade do usuário e termos e condições alegadamente controversas.
Desde que partiu, Ang fez várias acusações contra Reddit, que foram todas veementemente negadas por Kruger.
Coin Rivet contactou o Sr. Kruger para uma declaração. Ainda estamos para confirmar se o e-mail foi realmente enviado pelo Kruger.
O e-mail alegado
O suposto e-mail diz: “Oi, eu sou Ken, o fundador e CEO da Moon. Estou a contactar-te para que saibas que a tua conta Moon pode ser afectada pelos acontecimentos recentes.
“Um ex-funcionário tinha acesso às credenciais da Coinbase armazenadas em nossos servidores. Não temos nenhuma indicação de que esses dados tenham sido violados, mas estamos entrando em contato para encorajá-lo a revogar sua chave de API do Coinbase como medida de precaução.
“Todas as credenciais da Coinbase na Lua estão atualmente criptografadas. Novamente, não temos indicação de que ocorreu uma violação, mas encorajamos você a revogar a chave de API associada ao nosso sistema como medida de precaução.”
Alexander Ang responde
Coin Rivet falou com o Sr. Ang, que nos encaminhou para um cargo de Reddit de sua declaração oficial.
“Kenneth tem enviado e-mails me chamando por ter acesso tentando colocar a culpa em mim”, escreve ele.
“A verdade é que eu tinha acesso a eles. No entanto, fui impedido de criar um sistema que teria bloqueado o acesso às chaves de qualquer um dos nossos funcionários internos.”
Ele observa como isso pode ser alcançado através de políticas de bloqueio recursivo do IAM (gerenciamento de identidade e acesso) que garantem que apenas os usuários tenham acesso às suas próprias chaves. A partir daí, “a lógica que enviou a criptomoeda dos usuários para a Lua estaria toda no front-end.”
Ang detalha como isso poderia ter sido carregado para o GitHub para o mundo ver e criticar.
“Essa é a maneira de obter críticas para sua infraestrutura de segurança no setor - algo que Kenneth rejeitou ativamente”, acrescenta.
Ang afirma: “Não há absolutamente nenhuma maneira no universo para você criptografar e, em seguida, recuperar os mesmos dados sem qualquer tipo de chave.
“Foi uma das soluções que ponderei quando estava pensando em como proteger os usuários - pedindo-lhes para digitar sua própria senha para a chave de API.”
No entanto, Ang escreve que ele conectou sua conta Coinbase com Moon, mas não foi solicitado por sua chave.
Ele alega que, por causa disso, “qualquer tipo de 'criptografia' que está sendo feito tem que ser feito com uma chave de propriedade da equipe de gerenciamento. Se você não tiver revogado suas chaves, suas chaves ainda estarão em risco.
“Mesmo que você a proteja com qualquer tipo de senha, Moon, executando o algoritmo de descriptografia, ainda tem acesso completo às chaves de API após a descriptografia.”
Você pode ler o comentário completo de Ang sobre Reddit.
Coin Rivet continuará fornecendo atualizações à medida que a história se desenvolve.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.