Oxetech - Soluções em informática

Oxetech - Soluções em informática Oxetech é uma empresa com foco em oferecer serviços em suporte, consultoria e segurança tecnológ

Realizamos soluções de problemas na área de T.I (tecnologia da informação), prestação de serviços com qualidade para usuário domestico e
pequenas empresas.

PROMOÇÃO! 20% OFFServiços de suporte e manutenção está em promoção!Venha conferir.Oportunidade única e limitada.
14/11/2020

PROMOÇÃO! 20% OFF

Serviços de suporte e manutenção está em promoção!
Venha conferir.
Oportunidade única e limitada.

ESTAMOS DE VOLTA!😎 Estavam com saudades?Venho com novidade para vocês! Estamos com atendimento exclusivo e personalizado...
23/10/2020

ESTAMOS DE VOLTA!

😎 Estavam com saudades?

Venho com novidade para vocês!

Estamos com atendimento exclusivo e personalizado para você. 💪
Temos planos de serviços para pequenas empresas.
Estamos com agenda aberta para te atender.

Quer sabe mais?
[email protected]

Estamos com promoção galera!!
20/02/2020

Estamos com promoção galera!!

17/02/2020

Estamos de voltar! com os melhores serviços da região.

Modelo OSI e seus possíveis ataque.
24/07/2019

Modelo OSI e seus possíveis ataque.

04/06/2019

🚨Em quase todos os dias ouvimos ou falamos sobre algumas siglas, mas raramente conhecemos sua forma completa.
TMJ!! 4Hackers

29/05/2019

Atualização já foi liberada pela Microsoft, mas inúmeros computadores ainda estão vulneráveis

20/05/2019

Falha permite que invasores tenham acesso a diversos dados dos usuários; Intel libera atualizações para modelos afetados

Para melhorar é preciso mudar! Mas mudar doí né? Mas depois vem o alívio e a felicidade, e a dor virar alegria. E com is...
17/05/2019

Para melhorar é preciso mudar! Mas mudar doí né? Mas depois vem o alívio e a felicidade, e a dor virar alegria. E com isso estamos mudando tudo! Renovando, melhorando e criando; Novos projetos, novos parceiros, novos planos. Tudo isso para te atender melhor, pois você merecer o melhor. Agora é OxeTech soluções em informática. Iae, vai querer mudar também ?

14/05/2019

Whatsapp team discovered a critical 0-day vulnerability (CVE-2019-3568) in its audio calling feature that was being exploited by attackers to secretly install spyware app on targeted smartphones just by calling them.

04/05/2019

Ranking de exchanges brasileiras por ordem de segurança (versão detalhada):

1- Walltime: +2 pts
2- Profitfy: +1pts
3- PagCripto: -1pts
4- BitcoinTrade: -2pts
5- BTCBolsa: -7pts
6- 3xBit: -9pts
7- Mercado Bitcoin: -22pts
9- NegocieCoins: -24pts
10- Atlas: -38pts
11- Foxbit: -61pts
12- Braziliex: -63pts

Todo mundo diz ser o mais seguro, mas poucos querem por isso á prova. Essa lista tem dois objetivos principais:
1- Informar o público para que cada um possa optar melhor por seus riscos;
2- Oferecer um estímulo ao mercado nacional para melhor proteger e respeitar seus clientes.

Metodologia de pontuação:
O risco das vulnerabilidades é aferido de acordo com a metodologia CVSS (Common Vulnerability Scoring System https://www.first.org/cvss/user-guide) e depois é aplicada a pontuação em cima da classificação final, de acordo com a tabela abaixo:

Crítica - 15 pts
Grave - 9pts
Média - 6pts
Leve - 3pts
Pontos Fracos - 1pt

Inércia (demorar demais para resolver uma falha) - falha x 2

Incidente - 9pts/caso
não responder clientes atingidos no incidente - 12pts

Foram ao todo 34 vulnerabilidades encontradas nas plataformas de criptos.

Detalhamento das pontuações:

1- Walltime: +2 pts
Ainda não encontramos vulnerabilidades na plataforma.
Critérios de desempate:
- Ponto Forte: API usa criptografia assimétrica gerada pelo cliente e não necessita a exchange conhecer a chave privada.
- Ponto Forte: Possui programa de bug bounty

2- Profitfy: +1pts
Ainda não encontramos vulnerabilidades na plataforma.
Critérios de desempate:
- Ponto Forte: Uso (opcional) de autenticação BlockchainID da OriginalMy

3- PagCripto: -1pts
Ainda não encontramos vulnerabilidades na plataforma.
- Ponto Fraco (1pt): Não possuir token contra CSRF.
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não

4- BitcoinTrade: -2pts
- Ponto Fraco (1pt): Api usa token tipo bearer, mais fraco e aquém do padrão de mercado.
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Ponto Fraco (1pt): Chave de API (Bearer) exposta em texto pleno nas sessões logadas, facilita shoulder surfing.
- Avisado? Sim
- Corrigido? Não
- Publicado? Não

5- BTCBolsa: -7pts
- Media (6pts): serviços ssh expostos em ips reais, um deles (de suporte) vulnerável a CVE-2016-6515 e CVE-201616210
- CVE-2016-6515, CVE-201616210
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/338419313666572
- Ponto Fraco (1pts): IPs reais do sistema expostos devido a má configuração.
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/338419313666572

6- 3xBit: -9pts
- Medio (6pts): Domínio de Homologação exposto com modo debug do Django ativado vazando informações importantes sobre sistema de produção
- CWE-215, CWE-209, CAPEC-214
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/338920510283119
- Leve (3pts): Painel de administrador exposto e sem proteção contra Brute-Force
- CWE-307
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/386141888894314

7- Mercado Bitcoin: -22pts
-Grave (9pts): Domínio de Homologação exposto com modo debug do Django ativado vazando informações importantes sobre sistema de produção, chaves secretas de API, diretórios, S3 Bucket, todos os endpoints, usuários administrativos, banco de dados, trechos de código.
- CWE-215, CWE-209, CAPEC-214
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/361633764678460
-Leve (3pts): Diretório static com listagem aberta, vaza informações sobre o sistema incluindo endpoints administrativos.
- CWE-548
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não
-Ponto fraco (1pts): Self XSS no Widget da TradingView.
- CWE-548
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/338440853664418
- Incidente (9pts): Ataque de enumeração de vouchers ocasionou perda de fundos
- Publicado? Sim http://www.newsinside.org/mercado-bitcoin-o-maior-exchange-de-bitcoins-do-brasil/

8- NegocieCoins: -24pts
- Crítica (15pts): Exposição de cookies da plataforma financeira em Trace.axd no blog
- CWE-215, CWE-209
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/360565608118609
- Média (6pts): Content Spoofing no blog
- CWE-345, CAPEC-148
- Avisado? Sim
- Corrigido? Não
- Publicado? https://www.facebook.com/exchangesec/posts/343090043199499
- Leve (3pts): API do sistema de emails institucionais aberta, com Content Spoofing
- CWE-345, CAPEC-148
- Avisado? Sim
- Corrigido? Não
- Publicado? https://www.facebook.com/exchangesec/posts/343090043199499

9- Atlas: -38pts
- Crítica (15pts): Vazamento do primeiro token de reset de senha, segundo token de reset de 6 números sem captcha, fácil de realizar brute-force
- CWE-200, CWE-640
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/338430923665411
- Grave (9pts): Implementação de 2FA fraca, login sem 2FA e possibilidade de troca dele sem ter digitado um código.
- CWE-358
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/361601514681685
- Leve (3pts): Nome de usuário não possui escaping, é possível injetar scripts que podem ser executados no sistema de suporte.
- CWE-116
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://portaldobitcoin.com/como-a-lista-da-atlas-pode-ter-vazado-e-por-que-ela-e-um-pote-de-ouro-para-um-hacker/
- Ponto Fraco (1pt): Oráculo de contas no sistema de reset de senha
- CWE-203
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Ponto Fraco (1pt): Oráculo de contas no sistema de cadastro
- CWE-203
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Incidente (9pts): Vazamento de informações sensíveis de 260k clientes.
- Publicado? https://tecnoblog.net/257328/vazamento-dados-atlas-quantum-fintech-bitcoin/

11- Foxbit: -61pts
- Crítica (15pts): Vazamento de todo o código da plataforma, incluindo chaves privadas de hot wallet.
- CWE-540, CWE-552
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/386156935559476
- Crítica (15pts): Todos os documentos e fotos de clientes expostos.
- CWE-922
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/343095556532281
- Grave(9pts): Painel de administração exposto sem proteção contra brute-force.
- CWE-307
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/386141888894314
- Grave (9pts): XSS Injection refletido em foxbit.exchange
- CWE-79
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://mundohacker.net.br/hackers-descobrem-falhas-criticas-de-seguranca-e-salvam-foxbit-de-possivel-falencia
- Grave (9pts): A plataforma utiliza versão de componentes vulneráveis a ataques de escalas baixas a grave.
- CWE-477
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://mundohacker.net.br/hackers-descobrem-falhas-criticas-de-seguranca-e-salvam-foxbit-de-possivel-falencia
- Leve (3pts): Ao migrar de plataforma o 2FA de alguns clientes foi desligado sem qualquer aviso.
- CWE-308
- Avisado? Sim
- Corrigido? Não
- Publicado? Não
- Ponto Fraco (1pt): Vazamento do IP real por trás do Cloudfare(institucional)
- CWE-200
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não

11- Braziliex: -63pts
- Crítica (15pts): Token de saque previsível, baseado em tempo
- CWE-341
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/362052307969939
- Crítica (15pts): Vazamento do token de saques no endpoint de histórico.
- CWE-200
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/345346006307236
- Grave (9pts): XSS Injection na área de suporte
- CWE-79
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/345346006307236
- Grave (9ptd): Endpoint de upload de arquivos permite envio arbitrário
- CWE-434
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não
- Grave (9pts): Vazamento de mensagens de suporte de outros clientes no sistema de suporte
- CWE-200
- Avisado? Sim
- Corrigido? Sim
- Publicado? https://www.facebook.com/exchangesec/posts/338409007000936
- Média (6pts): Dump de banco de dados exposto.
- CWE-530
- Avisado? Sim
- Corrigido? Sim
- Publicado? Não

OBS: Falhas corrigidas não são removidas do ranking pois consideramos que uma Exchange deixar passar falhas de segurança para produção é evidência de má gestão de qualidade, code review e boas práticas, informação útil para a comunidade na hora de escolher. Não corrigir ou demorar muito no entanto dobrará a pontuação da falha como evidenciado na tabela acima.

by aCCESS with Love

Endereço

Camaçari, BA

Horário de Funcionamento

Segunda-feira 09:00 - 17:00
Terça-feira 09:00 - 17:00
Quarta-feira 09:00 - 17:00
Quinta-feira 09:00 - 17:00
Sexta-feira 09:00 - 17:00
Sábado 09:00 - 17:00
Domingo 09:00 - 14:00

Notificações

Seja o primeiro recebendo as novidades e nos deixe lhe enviar um e-mail quando Oxetech - Soluções em informática posta notícias e promoções. Seu endereço de e-mail não será usado com qualquer outro objetivo, e pode cancelar a inscrição em qualquer momento.

Compartilhar