Kraken vyzval majiteľov a prevádzkovateľov zariadení BATMTwo, aby zmenili administrátorský QR kód. Spoločnosť odhalila, že mnoho amerických bitomatov stále používa predvolené QR kódy správcu, čo vytvára vážne nedostatky zabezpečenia pre používateľov.
Kraken varuje
Kraken oznámil, že „veľké množstvo“ bitomatov je zraniteľných voči hackingu, pretože správcovia nikdy nezmenili predvolený QR kód.
V blogu 29. septembra Kraken publikoval štúdiu Security Labs, ktorá ukázala, že v ponuke bankomatov General Bytes BATMTwo existuje „viacero zraniteľností hardvéru a softvéru“.
Mnoho útokových vektorov bolo spozorovaných pomocou predvoleného správcovského QR kódu, operačného softvéru Android, systému správy ATM a dokonca aj hardvérového rozhrania zariadenia.
Bezpečnostný tím Kraken uviedol, že ak je hackerovi poskytnutý administratívny kód, môže v zásade „hackovať zariadenie“, pričom zdôrazňuje problémy s nedostatkom mechanizmov bezpečného zavádzania systému BATMTwo a „kritické bezpečnostné chyby“ v systéme riadenia ATM.
Spoločnosť General Bytes údajne už upozornila majiteľov zariadení na zraniteľné miesta:
Spoločnosť Kraken Security Labs nahlásila problém spoločnosti General Bytes 20. apríla 2021. Riešili sme chyby v serverovom systéme (CAS) a informovali sme o probléme zákazníkov, ale úplné opravy niektorých problémov môžu stále vyžadovať zmeny hardvéru.
Tím tiež zistil, že majú úplný prístup k operačnému systému Android za bitomatom BATMTwo jednoduchým zapojením klávesnice USB do zariadenia, a varoval, že „ktokoľvek“ môže „inštalovať aplikácie, kopírovať súbory alebo vykonávať iné škodlivé činnosti“.
Viac ako 6 000 bitomatov
General Bytes má sídlo v Českej republike a podľa Coinradaru je na svete v súčasnosti nainštalovaných 6 391 bitomatov. Predstavuje 22,7% svetového trhu. Tieto údaje však platia aj pre stroje BATMThree, ktoré spoločnosť Kraken neoznačila ako úplne bezpečné.
Väčšina BATM bitomatov sa nachádza v USA a Kanade. Celkový počet v regióne je okolo 5 300, zatiaľ čo v Európe bolo nainštalovaných asi 824 zariadení.
Kraken nalieha na dvoch vlastníkov a operátorov BATMTwo, aby zmenili predvolený administrátorský kód QR, aktualizovali server CAS a umiestnili bitomaty na miesta viditeľné pre bezpečnostné kamery.
zdroj: cointelegraph.com, pixabay.com