Quando a violação de dados da Equifax ocorreu em setembro de 2017, o cofundador da Ethereum, Joseph Lubin, criticou rapidamente o manuseio indevido de empresas e a monetização de dados de usuários, duplicando sua demanda por maior segurança digital via redes descentralizadas. Lubin enfatizou a importância de proteger nossas identidades online:
“… ataque após ataque e o tempo e recursos resultantes agências governamentais tentando salvaguardar a identidade, como os reguladores podem não ficar animados com a blockchain do Ethereum? Um protocolo imutável e transparente com produtos em que cada indivíduo possui todos os aspectos de sua identidade. Não há mais ataques generalizados”, trecho do artigo Existe outra maneira: o Hack Equifax e o Caminho para a Descentralização, em tradução livre
Mas apenas um ano depois, a identidade e a marca de Lubin foram sequestradas na internet.
Em 13 de setembro, Rick Burnett, CEO e fundador da LaneAxis, recebeu uma mensagem da Lubin via Telegram: “LaneAxis: quero saber mais…”
Burnett, que atualmente está lançando o ecossistema de gestão de cadeia de suprimentos baseado em Ethereum da LaneAxis Virtual Freight Management, não sabia quem exatamente era Lubin, mas ofereceu falar com ele e compartilhar mais informações sobre a empresa e seu projeto de blockchain e venda de tokens. Depois de uma breve ligação, Lubin disse que ponderaria as informações e levaria alguns dias para examinar a plataforma LaneAxis.
Burnett, curioso sobre o misterioso potencial investidor, pesquisou o nome de Lubin no Google. Encontrou: Co-fundador da Ethereum e da ConsenSys. Bilionário. Empreendedor. E muito mais informações.
Confira nossas sugestões de Pre-Sales para investir agora
O feed de notícias do Google sobre Lubin reúne um fluxo quase constante de matérias, com Lubin investindo em startups baseadas em blockchain ou oferecendo conselhos sobre o futuro das criptomoedas. Burnett ficou chocado. Isso poderia mudar o jogo para o LaneAxis. As empresas parceiras do ConsenSys costumam vender seus tokens poucos minutos depois de receber o suporte de Lubin.
A equipe da LaneAxis foi imediatamente trabalhar na pesquisa de Lubin e da ConsenSys. O primeiro passo foi verificar se as mensagens recebidas eram realmente de Lubin.
O Telegram é a plataforma de comunicação preferida da comunidade de criptomoedas devido à sua capacidade de criptografar mensagens, bem como aos robustos recursos de bate-papo em grupo. O aplicativo permite a criação de nomes públicos de usuários, ajudando os usuários da plataforma a contatar qualquer pessoa na rede que também tenha criado um nome de usuário. Como qualquer outra rede, os nomes de usuários devem ser únicos e os nomes pessoais raramente são utilizados.
No entanto, o Telegram oferece aos usuários uma “identidade online” para proteger um nome de usuário se o mesmo nome for usado por pelo menos duas outras contas em redes sociais diferentes (Facebook, Twitter, Instagram). O nome do Telegram de Lubin é @ethereumJoseph. Seu usuário no Twitter também é @ethereumJoseph. Com base no Twitter, Burnett e a equipe concluíram que a ConsenSys e Lubin devem ter usado sua identidade verificada no Twitter para o Telegram também, e, portanto, este era o verdadeiro Lubin.
Na semana seguinte, Burnett enviou uma mensagem para Lubin e recebeu respostas contundentes, quase estereotipadas de um bilionário que gerenciava uma grande variedade de empreendimentos comerciais. Finalmente, Lubin enviou uma mensagem a Burnett em 15 de setembro com uma oferta.
Lubin: “Como posso ser de ajuda?”
Burnett: “Eu adoraria que você se envolvesse em qualquer nível que desejasse. Investidor, membro da equipe, e deixe-nos fazer um comunicado de imprensa dizendo que você está envolvido no projeto. Você me diz e eu estou dentro.
Lubin: “Que tal uma parceria com a ConsenSys?”
Burnett: Sim. Como nós prosseguimos?
Lubin: “Vou lhe enviar mais informações na segunda-feira.”
A negociação
A equipe da LaneAxis passou o resto da semana se preparando para o acordo e coordenando com Lubin. O empresário enviou um contrato da ConsenSys para Burnett do seu e-mail pessoal, desvinculado da ConsenSys. Burnett achou um pouco estranho e questionou Lubin, que afirmou se tratar de seu e-mail pessoal.
Inicialmente, Burnett achou estranho, mas argumentou que uma pessoa da estatura de Lubin poderia usar e-mails independentes da empresa para correspondência e, potencialmente, negócios. Burnett não queria desfazer um acordo com um bilionário tecnológico aparentemente excêntrico, e insistiu.
O contrato centrou-se em torno de uma troca de tokens. Desde que a ConsenSys passasse a devida diligência e cumprisse com os termos e condições da venda simbólica da LaneAxis, esta receberia o apoio da ConsenSys e US$ 2,2 milhões em Ether (ETH) por US$ 2 milhões em tokens AXIS da LaneAxis.
Ambas as empresas seriam obrigadas a manter 60% dos tokens recebidos como reservas da empresa e 40% para utilização. Burnett recebeu o contrato assinado no papel timbrado da ConsenSys com a assinatura de Lubin. A equipe da LaneAxis comemorou o que eles pensaram ser uma parceria de sucesso com a ConsenSys.
Acende a luz vermelha Lubin colocou Burnett em contato com James Slazas, Chefe de Mercado de Capitais da ConsenSys, via Telegram, para executar o contrato. Depois de receber um contrato assinado da Lubin com as marcas d’água, os endereços e as informações da ConsenSys, Slazas forneceu os detalhes da transferência e enviou dois endereços criptográficos da Burnett para a troca.
Foi aí que a luz vermelha piscou como alerta.
“Ainda não recebemos nenhuma mensagem diretamente das contas da ConsenSys. Slazas era o cara certo na ConsenSys para lidar com esse tipo de negociação, mas tudo era direto pelo Telegram e e-mail pessoal. As empresas de Lubin foram pioneiras em contratos inteligentes. Eles entenderiam a necessidade de confirmação oficial antes de enviarem tokens para endereços de carteiras desconhecidas ”, contou Burnett.
A equipe da LaneAxis começou a estabelecer contato com Lubin nos canais verificados. Nenhuma resposta do e-mail da empresa de Lubin, que eles estavam copiando no e-mail desde que o adquiriram no meio da semana. Nenhuma resposta no Twitter. Finalmente, Burnett enviou uma mensagem a Lubin sobre o LinkedIn. Algumas horas depois, os representantes da ConsenSys responderam a Burnett.
Não havia nenhum acordo. A LaneAxis nunca se comunicou com o verdadeiro Joseph Lubin.
A equipe da empresa ficou chocada e frustrada. Duas semanas foram perdidas tentando garantir o que acabou como um acordo fraudulento. Este era um esquema multimilionário, cujos perpetradores chegaram até a identidade de Lubin para se passar por ele e sua empresa, e forjar com perícia a execução de documentos em seu nome.
Burnett havia identificado o golpe em cima da hora e queria impedir que outros fossem vítimas de estratagemas semelhantes. Então, a LaneAxis fez uma ligação com o verdadeiro Joseph Lubin e com a ConsenSys no dia seguinte para avisar da tentativa de golpe e levá-los a assumir o controle de sua identidade online. A ConsenSys divulgou um breve comunicado, mas uma semana depois, o perfil falso de Lubin no Twitter ainda estava enviando mensagens a Burnett sobre o acordo falso, e ainda aparecia ao lado do verdadeiro Twitter de Joseph Lubin na primeira página de uma pesquisa no Google.
Identidade em mãos suspeitas
Os golpistas tinham quase tudo o que precisavam para se passarem por Lubin: nome de usuário, endereços, logotipos, fotos, horários, telegramas de colegas, assinaturas e documentos legais. A única oferta foi realizada por um email “pessoal”.
“Fornecer nossas informações pessoais repetidas vezes para organizações (que geralmente lucram com essas informações) com centros de dados centralizados é a definição de insanidade. O modelo atual está falido e é facilmente hackeável. É hora de recuperar nossas identidades. ”- Joseph Lubin, comentando sobre o caso.
Semanas depois, Lubin ainda não reivindicou sua conta no Telegram. Nem sua identidade
A ConsenSys não tomou medidas para responder às tentativas reais, sofisticadas e bem-sucedidas de se fraude contra a empresa e seu fundador. Se um dos maiores nomes da segurança digital, na vanguarda da tecnologia de descentralização, pode ter sua identidade roubada, quem está realmente seguro?
Segurança com informações
A descentralização e a criptografia não valem muito se as informações forem tratadas de maneira descuidada em primeiro lugar.
Mesmo desapontado com o resultado final da “proposta”, Burnett coloca a culpa no Telegram. “No final do dia, isso é realmente uma questão do Telegram. Trata-se de expor um grande golpe e impedir que fraudes semelhantes ocorram no futuro. É preciso haver um processo de verificação melhor se eles quiserem manter sua reputação como padrão na segurança de mensagens e quiserem manter a confiança da comunidade de criptomoedas. ”
O Telegram não respondeu às perguntas da LaneAxis sobre a conta falsa e a atividade fraudulenta em sua plataforma.
Não tem sido bons meses para a reputação dos protocolos de segurança do Telegram. No final de agosto, descobriu-se que sua plataforma de mensagens de criptografia “ponta a ponta” tinha um bug que vazava os endereços IP “privados” de seus usuários durante as chamadas de voz em computadores, submetendo esses usuários a possíveis ataques. No final de julho, outro bug também resultou na liberação dos endereços IP privados dos usuários. Em abril, foi informado que até 70 milhões de contas do Telegram podem ter sido atacadas.
Blockchain e segurança
A atual revolução da blockchain tem grandes promessas a cumprir: revolucionar as estruturas de poder em todo o mundo, democratizar a internet, retirando o controle dos dados dos usuários das corporações gigantescas, e proporcionar uma nova era na segurança online. Os proponentes da Blockchain, como Lubin, anunciam o fim do roubo de identidade e ataques hackers em grande escala, prometendo eficiência nunca vista antes no comércio e colaboração globais.
Na esteira do golpe, Burnett pede que toda a indústria reforce a segurança. “Espero que todos os envolvidos tomem medidas sérias para melhorar sua segurança online. Joseph e ConsenSys estão introduzindo novas ondas de inovação e é alarmante ver alguém acessar tantas informações e assumir sua identidade. É ainda mais alarmante quando, após tomar conhecimento da situação, não há uma resposta rápida para reivindicar novamente o controle dos dados. Como comunidade, devemos assumir ativamente o controle de nossa presença on-line e exigir que plataformas como o Telegram sejam melhores.”
Com o surgimento da internet “sem confiança”, não podemos confiar apenas na tecnologia para proteger nossas informações, como evidenciado pelos imitadores do ConsenSys e pelos sistemas de verificação defeituosos do Telegram. À medida que as redes se tornam cada vez mais seguras devido à descentralização, a verificação adequada e diligente, o monitoramento atento das contas e o manejo consciente das informações pelos seres humanos é mais importante do que nunca.
A LaneAxis descobriu a atividade fraudulenta, tomando o processo de verificação em suas próprias mãos e identificando as principais vulnerabilidades em sistemas confiáveis. Depois de examinar cuidadosamente todas as interações com os golpistas, a equipe da LaneAxis descobriu o nome de um suspeito enterrado nos metadados de um dos contratos. Burnett entregou a informação ao Federal Bureau of Investigation (FBI), pelo qual o verdadeiro Joseph Lubin foi informado. Burnett espera que seus esforços evitem que outras startups sejam vítimas de fraudes semelhantes e encorajem empresas como ConsenSys e Telegram a melhorar seus protocolos de segurança.