InternetData CenterAssinante

NFTs são usadas para roubar endereços de IP dos usuários

Aprenda a proteger seus dados de forma mais eficiente e adequada
NFTs são usadas para roubar endereços de IP dos usuários
Foto: Pixabay
Por Redação Engeplus Em 14/03/2022 às 10:08

NFT (Non-Fungible Token, ou “Token não fungível”) é um conceito cada vez mais amplo. Novos tipos de NFT surgem e a quantidade de pessoas que usam plataformas NFT é cada vez maior. Entretanto, há riscos envolvidos no uso delas e algumas estão sendo usadas para roubar informações pessoais de usuários, como endereços de IP.

Ataques XSS contra páginas de NFT

NFTs são, geralmente, passivos. Uma pessoa compra o token e depois vende ou armazena a NFT. A NFT em si mesma não faz nada. Há projetos muito interessantes envolvendo NFTs e elas são oportunidades de investimento para ganhos reais e plataformas inovadoras, mas há certos perigos em torno de algumas delas.

Algumas NFTs, por exemplo, estão sendo usadas para coletar endereços de IP dos visualizadores/usuários em plataformas como o OpenSea (um marketplace de NFT), o que permite aos vendedores ou criminosos carregar códigos customizados quando alguém simplesmente visualiza uma listagem NFT.

De acordo com Nick Bax, chefe de pesquisa da organização de NFT Convex Labs, houve a descoberta de diferentes ataques XSS (que se refere a ataques de script entre websites, um dos vários tipos de ataques que podem ser usados com NFT) em websites que listam NFTs, incluindo o OpenSea, o que permite carregar páginas HTML.

Ataques XSS (Cross-Site Scripting) são ataques que exploram vulnerabilidades de segurança normalmente presentes em aplicações web, aproveitando-se delas para injetar script dentro das páginas web visualizadas pelos usuários, tornando-os suscetíveis a estas falhas.

Vulnerabilidades no OpenSea

Bax e uma equipe de engenheiros e colaboradores trabalham em múltiplas NFTs que coletam endereços de IP dos usuários. Uma delas, que inclui uma imagem de crossover entre personagens das séries South Park e Simpsons, coleta o endereço de IP do visitante e o armazena em um painel para consulta posterior.

Na tela, há a mensagem “I just Right click + saved your IP address” (“Eu acabei de clicar com o botão direito e salvei seu endereço IP”) disponibilizada para visitantes e que consta na descrição da NFT no OpenSea.

Outra NFT exibe o endereço de IP do visitante na própria NFT, enquanto a pessoa visualiza a página no OpenSea.

Vazamento de endereços de IP

É claro que muitos websites armazenam os endereços de IP dos visitantes para que certas funcionalidades possam ser executadas (como aquelas que dependem de localização geográfica para publicidade direcionada, por exemplo).

Muitos aplicativos também fazem isto. O que o OpenSea faz, por exemplo, já é executado por várias plataformas, websites, apps e serviços. A principal diferença é que, no caso das NFTs mostradas no OpenSea, há terceiros (no caso, os vendedores de NFT) que podem acessar estas informações por conta própria, potencialmente sem conhecimento e consentimento dos usuários.

Então, os endereços de IP que deveriam ser acessados apenas pela plataforma em si acabam por ser coletados e armazenados por outras pessoas que, em tese, não deveriam ter acesso a eles.

O que criminosos podem fazer com seu endereço IP?

Com seu endereço IP, um criminoso pode acessar sua localização, geralmente no nível de descobrir, ao menos, a cidade na qual a conexão é feita. Cibercriminosos também podem usar esta informação para tentar encontrar outros detalhes pessoais, como o nome, o endereço residencial e outros dados da vítima, armazenados em outros lugares e disponíveis em vazamentos feitos contra outros websites.

Este problema no OpenSea permite aos vendedores de NFT adicionar uma “animation_url” aos metadados da NFT. Este “animation_url” é compatível com arquivos HTML, que são adicionados. Então, o arquivo HTML adicionado à NFT inclui um bit de código comumente usado para capturar e armazenar o endereço IP (em geral, disponibilizado pela IPlogger.org) de quem visualiza a página em questão.

Informações como o endereço de IP são pessoais e sigilosas, e o acesso de terceiros a este tipo de dado sem consentimento ou conhecimento prévio dos usuários é algo extremamente perigoso e preocupante. Se o IP fica vulnerável a este nível, outras informações não estão livres de também serem expostas.

Como proteger suas informações

Você pode até se perguntar: “mas, qual é meu IP?”. Há recursos que você pode usar para visualizar seu endereço IP. Esta é uma informação que apenas você, seu provedor de internet e websites e plataformas, com seu consentimento, podem acessar.

Mas, na prática, há métodos usados por pessoas não-autorizadas que podem deixar seu endereço IP exposto sem seu conhecimento e sem sua permissão. Para proteger seu endereço de IP, procure por formas de alterá-lo através de mecanismos confiáveis.

Ao não utilizar seu endereço IP padrão, você se torna menos vulnerável, já que Cibercriminosos terão acesso a um endereço IP alternativo e não ao seu endereço real.

Antes de usar uma plataforma de NFT, verifique se ela é confiável. Também pesquise sobre a integridade da NFT que você quiser adquirir.

Leia mais sobre: