Tabnews - Problemas de segurança?
Olá, venho por meio deste post relatar uma possível vulnerabilidade no mecanismo de tabcoins/tabcashs. Sou estudante de S.I e hoje pela manhã realizei alguns testes na plataforma e obtive os seguintes resultados:
Premissas
Sobre os comentários:
- Após comentar sucessivamente, a plataforma me permitiu realizar 6 comentários consecutivos antes de realizar um bloqueio.
- De acordo com os testes o bloqueio durou em média 20-30 minutos, porém, mesmo a conta sendo bloqueada várias vezes o tempo do banimento não aumentou.
- Terminado o bloqueio, experimentei usar intervalos de tempo de 60s entre cada comentário e a plataforma me permitiu comentar até 14 vezes antes de um nova punição ser aplicada.
- Não há captchas ou verificações de segurança ao comentar.
Sobre as postagens:
- Consegui realizar até 10 postagens consecutivas antes do bloqueio, porém ao definir espaços de tempo entre as postagens, a plataforma me permitiu criar mais de 10 postagens por conta antes de bloquear novamente.
- Aparentemente o tempo de bloqueio da plataforma para postagens e comentários é igual, ou seja, não há uma penalização de tempo maior para um segundo bloqueio.
- Não há captchas ou verificações de segurança ao postar.
Criação de contas
- Aparentemente a plataforma permite criar diversas contas apenas utilizando emails e senhas diferentes, o que torna o processo de criação de "contas zumbies" muito fácil.
Problema
Farm de Tabcoins
- Criei um post com uma conta aleatória (Conta 1)
- Comentei no post da conta 1 com uma conta secundária (Conta 2)
- Apaguei o post (Conta 1)
Resultado
- A conta 1 teve: 0 coins e 0 cashs
- A conta 2 teve: 2 coins e 0 cashs
Após repetir o procedimento 9 vezes:
- A conta 1 teve: 0 coins e 0 cashs
- A conta 2 teve: 16 coins e 0 cashs
Conclusões do teste:
- Como não há um mecanismo de segurança no processo de criação das contas, eu poderia facilmente criar 11 contas zumbies.
- Com uma das 11 contas criadas, eu poderia fazer um post automático com ela dentro da plataforma.
- Com restante das contas, eu poderia comentar através de cada uma delas e cada uma receberia 2 tabcoins.
- Após isso, eu poderia excluir o post e realizar o processo por mais 9 vezes (com base no experimento acima).
- Até a conta que está gerando os posts ser bloqueada novamente, eu teria o seguinte resultado com base no experimento:
a. 10 contas com 16 coins cada, totalizando 160 moedas.
b. Como o bloqueio dura em média 20 minutos: Em 1h eu teria 480 coins distribídos em 10 contas.
O que é possível fazer com esses tabcoins?
Boicote
Com esse farm de 480 tabcoins obtidos em aproximadamente 1h, eu poderia facilmente boicotar alguém com 240 downvotes em uma publicação.
Anúncios
Como o objetivo dos tabcashs é para futuramente anunciar produtos/serviços, ao farmar 480 tabcoins eu poderia criar um post fantasma na minha conta principal e fazer com que as "contas zumbies" façam um upvote nela, convertendo 2 coins em 1 tabcash para conta zumbie, ou seja, se um conta zumbie tem 16 coins, seria possível obter até 8 tabcashs.
Algumas coisas que eu não cheguei a testar mais a fundo sobre isso é:
- Não cheguei a ver quantos upvotes é possível por post, porém é possível dar mais de um por publicação.
- Não prestei atenção se um post ao receber upvote, ele também receve tabcashs, mas acredito que sim.
Em resumo, é possível fazer uma espécie de "lavangem de tabcoins" para tabcashs.
Possíveis soluções
- Incorporar um captcha na publicação de postagens.
- Atribuir verificadores de indentidade ao realizar comentários.
- Captchas na criação de contas.
- Aumentar o tempo dos bloqueios para contas que foram penalizadas dentro do mesmo dia.
- Banir contas que tiverem muitos bloqueios dentro de um curto período de tempo.
- Restringir um limite de upvotes/downvotes por publicação ou comentário.
Considerações finais
Como podemos ver, o sistema atual permite a criação de farms de coins e cashs mesmo realizando o processo todo manualmente, porém, vamos supor que tudo isso fosse feito por um script? Eu poderia automaziar todo o processo, desde a criação de contas até a etapa de conversão de coins para chashs.
O objetivo deste post é informar e alertar algumas possíveis vulnerabilidades com o intuito de melhorar a plataforma e consequentemente o ambiente entre todos os membros da comunidade.
Contas utilizadas durante o teste: MRX, ROBOT e RYZEN.
Deseja realizar testes? Saiba mais em: Clique aqui
Para relatar uma vulnerabilidade, acesse: Contato