Cada vez mais gente está usando criptomoedas
(especialmente bitcoins), dinheiro virtual de pouca rastreabilidade, que
circula mundialmente e sem depender do sistema bancário. O site coinmap.org
estima que 72 estabelecimentos de São Paulo (Capital) já o aceitem.
Em Buenos Aires, esse número é bem maior: quando se
restringiu a compra de moeda estrangeira na Argentina, parte da população foi
buscar proteção contra a inflação na moeda digital e, hoje, há muita dessa
espécie sustentando negócios no país vizinho.
Na semana passada, um desenvolvedor do Google
publicou uma lista com 1.000 sites que mineravam criptomoedas. Dentre eles
estava o Portal do Cidadão, mantido pelo Governo do Estado de São Paulo (no
endereço www.cidadao.sp.gov.br).
Assim, quando o usuário acessava o serviço, um
código malicioso escrito em JavaScript sequestrava parte do poder da CPU do
visitante e a utilizava para criar dinheiro digital em determinada conta
(RKbAaJRO6...Qti8a), mantida no site Coinhive. A mágica era possível porque a
oferta da capacidade computacional para manter a rede que controla as
transações virtuais é remunerada.
Enquanto o assunto era debatido no Twitter pelo
pessoal de TI, um desenvolvedor de Caxias do Sul teve a ideia de notificar a
Coinhive e a conta teria sido bloqueada.
O Governo do Estado emitiu nota falando de uma
“falha pontual já superada” e o script foi removido da página.
Interessei-me pelo assunto e achei na Internet a reprodução do código fonte da página adulterada.
Interessei-me pelo assunto e achei na Internet a reprodução do código fonte da página adulterada.
Estranhei a inserção do “Coinhive JavaScript” no
topo do html. Passou-me a sensação de que o administrador do site governamental
não poderia estar alheio ao comando acrescido.
Dessa impressão, todavia, não compartilha o
desenvolvedor de Caxias do Sul, com quem conversei pelo Twitter. Para ele, se
fosse voluntária, a inserção do script estaria “ofuscada” (sic) em meio ao
código.
Na lista das páginas que mineram criptomoedas (https://docs.google.com/…/1ehxSVoK9sCDwwqQQ6NS07UpkBT…/edit…)
encontrei, também, a do “Vestibular Fatec” (http://www.vestibularfatec.com.br).
Este caso, entretanto, não despertou a atenção da imprensa.
reprodução do Twitter (@felipehoffa)
---------------------
P.S.
P.S.
Vão aqui duas dicas para quem se interessar pelo
assunto: o documentário da Netflix “Banking on Bitcoin” (em Português: “Banco
ou Bitcoin”) e “Blockchain: Massively Simplified”, disponível no Youtube (https://www.youtube.com/watch?v=k53LUZxUF50).
