Kraken: биткойн-банкоматы в США уязвимы
Kraken Security Labs заявила, что «большое количество» биткойн-банкоматов уязвимо для взлома, поскольку администраторы никогда не меняли QR-код администратора по умолчанию.
В сообщении в блоге от 29 сентября Kraken опубликовал исследование своей группы Security Labs, в котором было обнаружено, что в диапазоне ATM General Bytes BATMTwo «множество уязвимостей аппаратного и программного обеспечения».
«Множественные векторы атак были обнаружены через административный QR-код по умолчанию, операционное программное обеспечение Android, систему управления банкоматом и даже аппаратный корпус машины», - говорится в сообщении.
Команда безопасности Kraken заявила, что если хакер получит в свои руки административный код, он, по сути, может «подойти к банкомату и скомпрометировать его», подчеркнув при этом проблемы с отсутствием у BATMtwo механизмов безопасной загрузки, а также «критические уязвимости». в системе управления банкоматом. Однако, как сообщается, General Bytes уже предупредила владельцев банкоматов об уязвимостях:
«Kraken Security Labs сообщила об уязвимостях в General Bytes 20 апреля 2021 года, они выпустили исправления для своей серверной системы (CAS) и предупредили своих клиентов, но для полного исправления некоторых проблем может потребоваться пересмотр оборудования».
Команда также обнаружила, что ей удалось получить полный доступ к операционной системе Android за банкоматом BATMTwo, просто подключив USB-клавиатуру к машине, и предупредила, что «любой» может «устанавливать приложения, копировать файлы или выполнять другие вредоносные действия. ”
Головной офис General Bytes находится в Чешской Республике, и, по данным Coin ATM Radar, в настоящее время во всем мире установлено 6391 банкомат General Bytes, что составляет 22,7% мирового рынка. Однако эти цифры также относятся к машинам BATMThree, о которых Kraken не сообщал.
Большинство банкоматов BATM расположены в США и Канаде, а их совокупная цифра составляет около 5300, в то время как в Европе установлено около 824 банкоматов.
Kraken призывает BATMTwo владельцев и операторов изменить QR-код администратора по умолчанию, обновить сервер CAS и разместить банкоматы в видимых местах для камер видеонаблюдения.