Em meio a um mercado de criptomoedas volátil e em constante evolução, as corretoras enfrentam um adversário ainda maior, determinado a comprometer os dados e fundos dos usuários. Esta semana, conversamos com Justin Hong, Diretor de Segurança da Informação (CISO) da Flipster, em uma entrevista exclusiva. Hong falou sobre como a plataforma de negociação de criptomoedas se fortalece por meio de certificações, inovação de produtos e resposta a ameaças em tempo real.
Segundo Hong, a Flipster lançou mais de 15 atualizações de segurança para seus produtos somente este ano. Essas atualizações, juntamente com a certificação ISO/IEC 27001 e a classificação "AA" da CER.live, garantem aos usuários um ambiente de negociação seguro.
Trabalhando na Flipster
P: Olá Justin, por favor, comece nos contando um pouco sobre você, seu papel como Diretor de Segurança da Informação e por que isso é essencial para empresas da Web3.
A: Passei os últimos 16 anos na área de cibersegurança, com experiência em bancos, fintechs e blockchain. Cada área apresenta seus desafios, e juntos eles moldaram minha abordagem à segurança, especialmente na Web3, onde os riscos são excepcionalmente altos. O nível de exposição aqui é incomparável ao do setor financeiro tradicional. Há mais controle por parte do usuário, mais inovação e, infelizmente, mais atenção por parte de agentes mal-intencionados.
Na Flipster, lidero a função de segurança global, que abrange tudo, desde gestão de riscos e conformidade até respostadent e incorporação de estruturas internacionais como a ISO/IEC 27001 em nossas operações. O mundo das criptomoedas evolui rapidamente, e as ameaças acompanham essa evolução. Construímos nossa segurança pensando nisso — sempre antecipando os acontecimentos, não apenas reagindo.
P: Como é trabalhar na Flipster no mundo dinâmico e de alto risco das plataformas de negociação de criptomoedas?
A: Há muita coisa em jogo, e é exatamente isso que torna o trabalho tão gratificante. Segurança nessa área não é passiva. Você enfrenta alguns dos adversários mais criativos e determinados do setor de tecnologia. Isso te mantém alerta e te força a continuar evoluindo.
O que mais se destaca na Flipster é o alinhamento de todos. A missão é clara: estamos aqui para construir uma plataforma de negociação segura e confiável na qual as pessoas possam confiar. Esse foco se reflete na nossa forma de trabalhar — colaboração estreita, feedbacks rápidos e testes constantes.
P: Como vocês deficonfiança na Flipster e como sua equipe está trabalhando para construí-la e mantê-la?
A: A confiança se constrói com o tempo por meio da consistência — sendo transparente, claro e responsável. Comunicamos como gerenciamos riscos, protegemos os fundos dos usuários e respondemos adent. Se algo der errado, os usuários merecem saber o que aconteceu e como o problema está sendo resolvido.
Na infraestrutura, utilizamos um modelo de confiança zero. Todos os sistemas e usuários são tratados com o mesmo rigor, sejam internos ou externos. Essa mentalidade nos ajuda a antecipar ameaças de phishing e outros riscos internos. Mas a segurança não pode comprometer a experiência do usuário. Estamos constantemente aprimorando os recursos para torná-los mais seguros e intuitivos. Quando esses dois aspectos funcionam em harmonia, os usuários não precisam escolher entre segurança e usabilidade.
Certificação ISO/IEC 27001 e CER.live da Flipster
P: As plataformas de criptomoedas estão se tornando um foco dedentde segurança, que na maioria dos casos resultam na perda de quantias substanciais de dinheiro. Enquanto trabalhava na Flipster, você se deparou com uma tentativa desse tipo e como lidou com ela?
A: Já vimos muitosdent— ataques DDoS, campanhas de phishing e tentativas de falsificação de identidade, para citar alguns. Essas ameaças são reais e constantes.
Tomemos como exemplo os ataques DDoS. Os atacantes tentaram interromper nossa plataforma e até mesmo recorreram a táticas de extorsão. Mas temos controles de detecção e mitigação integrados em todas as camadas, e nossas equipes de resposta são treinadas para agir rapidamente. Em cenários de phishing, agentes maliciosos se fizeram passar por candidatos a vagas de emprego ou parceiros para tentar enganar nossa equipe e levá-la a abrir arquivos maliciosos. Nossos sistemas são projetados para detectar essas ameaças rapidamente, e realizamos análises detalhadas pós-dent para fortalecer ainda mais nossas defesas.
P: O Flipster recebeu recentemente a certificação AA da CER.live. O que essa certificação implica e o que significa para os usuários?
A: Desde 2018 , a CER.live avalia centenas de corretoras usando uma metodologia rigorosa baseada em mais de 18 indicadores de segurança. É um dos benchmarks independentes mais confiáveis dent setor.
Para os usuários, esse tipo de certificação é um sinal claro. Ela indica que uma entidade independente avaliou nossa plataforma e validou a qualidade da nossa segurança. Somando isso à nossa certificação ISO/IEC 27001, começamos a perceber que se trata de uma empresa que leva a confiança a sério, não apenas no que dizemos, mas também em como operamos.
P: Além da certificação CER.live, quais práticas ou protocolos de segurança importantes a Flipster implementou recentemente e que os usuários devem conhecer?
A: Implementamos mais de 15 recursos de segurança em nível de produto este ano. Algumas das principais atualizações incluem suporte a senhas, bloqueios de saque e listas de permissão de endereços. Cada uma delas oferece aos usuários mais controle e adiciona mais uma camada de proteção.
Eu sempre recomendo habilitar tanto as chaves de acesso quanto o catálogo de endereços para saques. Essas etapas simples fazem uma grande diferença. Também estamos desenvolvendo novas ferramentas de gerenciamento de dispositivos que permitirão aos usuários trace gerenciar os dispositivos que acessam suas contas — outra maneira de ajudá-los a manter o controle.
P: Algumas plataformas alcançaram a classificação AAA da CER.live. Esse é um objetivo para o Flipster? Quais medidas de segurança vocês estão implementando para atingir esse patamar?
A: Está em nossos planos e estamos progredindo de forma constante. No momento, estamos focados em fortalecer a proteção dos servidores, implementar ferramentas anti-phishing e dar aos usuários maior controle por meio de recursos aprimorados de gerenciamento de dispositivos.
No fim das contas, não estamos atrás de selos, mas sim do que realmente melhora a plataforma para nossos usuários. Se algo agrega valor real e fortalece nossas defesas, nós implementamos. A classificação AAA é um marco, não a linha de chegada.
Programa de recompensas por bugs e mais recursos de segurança
P: Como a Flipster garante que os hackers éticos sejam incentivados de uma forma que esteja alinhada com os objetivos de confiança e transparência a longo prazo da plataforma?
A: Estamos trabalhando com a Hackenproof em um programa público de recompensas por bugs, oferecendo aos pesquisadores um caminho claro e confiável para compartilhar suas descobertas conosco. A equipe deles analisa as submissões quanto ao impacto e à qualidade, e nós oferecemos recompensas justas com base na gravidade.
Além de encontrar falhas, trata-se de envolver a comunidade global de segurança em nossa missão. Quando os pesquisadores sabem que seu trabalho é valorizado e levado em consideração, eles têm maior probabilidade de contribuir para otrondo ecossistema. É uma vitória para todos.
P: Como CISO e líder de opinião na área, que conselho você daria a outras empresas que trabalham para melhorar seus padrões de segurança?
A: Comece pelo básico. A maioria das violações de segurança ocorre por causa de descuidos básicos — falta de atualizações, permissões abertas, controle de acesso fraco. Corrija esses pontos e você eliminará grande parte do risco.
Além disso, invista nas suas pessoas e nos seus processos. Você pode ter todas as ferramentas do mundo, mas se suas equipes não forem treinadas ou seus planos de resposta adent não forem testados, você estará vulnerável. Construa uma cultura onde a segurança seja responsabilidade de todos, não apenas do CISO. Essa mudança de mentalidade pode levar tempo, mas vale todo o esforço.
P: Por fim, os ataques de engenharia social também são frequentes nesse espaço. Que medidas vocês implementaram para garantir que os usuários estejam protegidos, ou melhor, informados sobre tentativas de comprometer suas contas?
A: Consideramos a engenharia social em duas categorias: apropriação de contas e transferências fraudulentas. Primeiro, implementamos proteçõestron, como senhas, autenticação de dois fatores (2FA), alertas de login em tempo real e listas de permissão de endereços. Em breve, também adicionaremos o gerenciamento de dispositivos.
A educação do usuário desempenha um papel fundamental na prevenção de fraudes. Compartilhamos atualizações de segurança regularmente e estamos desenvolvendo ferramentas que sinalizam endereços suspeitos ou conhecidos por serem usados em golpes. O objetivo é fornecer aos usuários tanto o conhecimento quanto as ferramentas necessárias para se manterem seguros. Um usuário bem informado é uma das melhores linhas de defesa.
