A bitcoin ATM-ek sebezhetőségeire figyelmeztet a Kraken

A Kraken Security Labs szerint több bitcoin ATM sebezhető a hackerekkel szemben, mivel a rendszergazdák soha nem változtatták meg az alapértelmezett admin QR-kódot.

Egy szeptember 29-i blogbejegyzésben a Kraken közzétette a Security Labs csapatának kutatását, amely szerint több hardveres és szoftveres sebezhetősége van a General Bytes BATMTwo ATM termékcsaládnak.

„Több támadási vektort találtunk az alapértelmezett adminisztrátori QR-kódon, az Android operációs szoftveren, az ATM-kezelő rendszeren és még a gép hardverén is” – áll a bejegyzésben.

A Kraken biztonsági csapata kijelentette, hogy ha egy hacker ráteszi a kezét az adminisztrációs kódra, akkor lényegében „odasétálhat egy ATM-hez és kompromittálhatja azt”, ugyanakkor kiemelte a BATMtwo biztonságos indítási mechanizmusok hiányával kapcsolatos problémákat, valamint az ATM kezelőrendszerének kritikus sebezhetőségeit. A General Bytes azonban állítólag már figyelmeztette az ATM-tulajdonosokat a sebezhetőségekre:

„A Kraken Security Labs 2021. április 20-án jelentette a sebezhetőségeket a General Bytes-nak, ők kiadták a javításokat a backend rendszerükhöz (CAS) és figyelmeztették ügyfeleiket, de néhány probléma teljes javításához még mindig szükség lehet a hardverek felülvizsgálatára.”

A csapat azt is megállapította, hogy a BATMTwo ATM mögötti Android operációs rendszerhez teljes hozzáférést tudott szerezni, egyszerűen egy USB-billentyűzetet csatlakoztatva a géphez, és figyelmeztetett, hogy bárki alkalmazásokat telepíthet, fájlokat másolhat vagy más rosszindulatú tevékenységeket végezhet el rajta.

A General Bytes székhelye Csehországban van, és a Coin ATM Radar szerint jelenleg a világon 6391 General Bytes ATM van telepítve, ami a globális piac 22,7%-át jelenti. Ezek a számok azonban a BATMThree automatákat is beleszámítják, amelyekről a Kraken nem számolt be.

A BATM ATM-ek többsége az Egyesült Államokban és Kanadában található, az összesített számuk körülbelül 5300, míg Európában körülbelül 824 ATM van telepítve.

A Kraken felszólítja a BATMTwo tulajdonosait és üzemeltetőit, hogy változtassák meg az alapértelmezett QR admin kódot, frissítsék a CAS szervert, és helyezzék az ATM-eket a biztonsági kamerák számára jól látható helyekre.

Bitcoin ATM átverések

Bár a feltört bitcoin ATM-ekről szóló jelentések minimálisnak tűnnek, a kripto ATM-ekhez már korábban is készítettek különféle átveréseket a támadók.

2019 márciusában a torontói rendőrség nyilvános közleményben szólította fel a kriptoközösséget négy férfi felkutatására, akiket azzal gyanúsítottak, hogy ún. dupla költéssel nagyjából 150 000 dollárt loptak el az automatából. A tranzakciókat még azelőtt törölték, hogy az ATM-nek esélye lett volna megerősíteni azokat, de a kiadott készpénzt magukhoz vették.

Az Oakland Press júniusban számolt be arról, hogy két berkley-i nőtől összesen 15 000 dollárt loptak el, miután a csalók közbiztonsági tisztviselőknek és szövetségi alkalmazottaknak adták ki magukat. A csalók állítólag azt mondták az áldozatoknak, hogy adóügyi szabálysértésük van, és arra utasították őket, hogy a környéken található helyi bitcoin automatán keresztül fizessék ki a bírságokat.