Ví Bitcoin Bitfi của John McAfee được cho là đã bị tấn công sau khi ‘cha đẻ’ của nó đưa ra một thách thức nếu ai hack ví của ông thành công sẽ nhận được 250.000 USD. Bitfi đươc quảng cáo là chiếc ví “không thể bị hack”. Đến hiện tại, John McAfee vẫn chưa đưa ra câu trả lời cho tuyên bố đã có được quyền truy cập root từ nhóm nghiên cứu bảo mật OverSoftNL.
Tweet của Oversoft đăng ngày 1/8:
“Cập nhật ngắn nên không đi vào chi tiết quá nhiều về BitFi. Chúng tôi có quyền truy cập root, phần mềm vá và có thể xác nhận ví BitFi vẫn kết nối vui vẻ với dashboard. Không có kiểm tra tại chỗ để ngăn chặn điều đó giống như BitFi khẳng định”.
Short update without going into too much detail about BitFi:
We have root access, a patched firmware and can confirm the BitFi wallet still connect happily to the dashboard.
There are NO checks in place to prevent that like claimed by BitFi.
— OverSoft (@OverSoftNL) 1 tháng 8, 2018
Bitfi đã không phản ứng ngay lập tức với các tweet nhưng lúc 8:18 PM nó đã đưa ra tweet đầu tiên.
Dear friends, we’re announcing second bounty to help us assist potential security weaknesses of the Bitfi device. We would greatly appreciate assistance from the infosec community, we need help. Here are the bounty conditions: https://t.co/f00POuF1Ov Thank you, Daniel Khesin CEO
— Bitfi (@Bitfi6) 1 tháng 8, 2018
(Các bạn thân mến, chúng tôi đang công bố tiền thưởng thứ hai cho những ai giúp chúng tôi hỗ trợ tìm kiếm các điểm yếu bảo mật tiềm ẩn của thiết bị Bitfi. Chúng tôi sẽ đánh giá rất cao sự hỗ trợ từ cộng đồng infosec, chúng tôi cần sự giúp đỡ.
Dưới đây là các điều kiện cho khoản tiền thưởng: https://bitfi.com/bounty2
Cảm ơn bạn, CEO Daniel Khesin).
Trong một tweet tiếp theo, Oversoft cáo buộc Bitfi sử dụng tiền thưởng 250.000 USD của mình như một mưu đồ tiếp thị, gợi ý rằng nhóm sẽ không bàn giao bất kỳ thông tin nào về các điểm yếu bảo mật.
They deny anything that’s not exactly according to their bounty rules, aka: they will never pay a bounty. It’s pure marketing.
— OverSoft (@OverSoftNL) 1 tháng 8, 2018
(Họ phủ nhận bất cứ điều gì đó không chính xác theo quy tắc tiền thưởng của họ, aka: họ sẽ không bao giờ trả tiền thưởng. Đó là tiếp thị thuần túy).
Bitfi gây tranh cãi
Bitfi đã tạo được danh tiếng sau những lời quảng bá táo bạo và có lúc tự mãn khi liên tục tuyên bố rằng chiếc ví phần cứng không thể tháo rời và thậm chí hứa hẹn trả tiền thưởng cho bất cứ ai có thể hack thành công nó.
Từ 100.000 USD, tiền thưởng này nhanh chóng lên đến 250.000 USD khi John McAfee đáp trả những lời chỉ trích từ các nhà nghiên cứu bảo mật. Đối với biện pháp bổ sung, Bitfi đảm bảo rằng tiền thưởng không nhằm giúp xác định các lỗ hổng bảo mật, đồng thời giữ vững tuyên bố “không thể hack”.
Một cuộc tranh cãi đã nổ ra sau đó giữa Bitfi và một loạt các nhà nghiên cứu bảo mật. Đáng chú ý, Ryan Castellicco từng nói rằng Bifi là “một chiếc điện thoại Android giá rẻ cần vứt bỏ” và ông “khuyên không nên sử dụng”.
Một nhóm các nhà nghiên cứu khác sau đó cáo buộc Bifi chứa các ứng dụng đáng ngờ trên thiết bị của nó bao gồm cả công cụ tìm kiếm Baidu của Trung Quốc và phần mềm độc hại Adups.
Đáp lại, Bitfi đã đưa ra một sự phủ nhận toàn diện những tuyên bố này, cáo buộc Oversoft làm việc cho các đối thủ cạnh tranh của nó và nhắc lại khoản tiền thưởng 250.000 USD.
Tuy nhiên, hôm 1/8, Oversoft dường như chỉ ra rằng họ có bằng chứng cho các tuyên bố của họ, đề cập rằng các ứng dụng được đề cập thực sự đã theo dõi và báo cáo về người dùng, trái ngược với những gì Bitfi đã quảng cáo.
PS output as root:https://t.co/267HmiCSE9
— OverSoft (@OverSoftNL) 1 tháng 8, 2018
(Bạn có thể nhận thấy rằng trình theo dõi vị trí của Baidu và dịch vụ Adups đều đang chạy … Không chỉ được sử dụng để “ping” như BitFi đã nói … )
Trong trường hợp chiếc ví ccn đã bị hack, nó vẫn được xem là điều có ý nghĩa đối với Bitfi và McAfee. Hiện tại, cả hai đều chưa phản hồi.
Xem thêm: Cảnh báo đối với Ví Cứng “Bất Khả Xâm Phạm” Bitfi
Theo: TapchiBitcoin/ccn
