Производитель биткоин-банкоматов закрыл облачный сервис после взлома горячих кошельков пользователей

maximov

автор

2 месяца назад

453

Производитель биткоин-банкоматов General Bytes сообщил, что хакеру удалось установить и запустить Java-приложение в его терминалах, которое могло получить доступ к информации пользователей и отправлять средства с горячих кошельков.

Производитель биткоин-банкоматов General Bytes закрыл свои облачные сервисы после обнаружения "уязвимости в системе безопасности", которая позволяла злоумышленникам получать доступ к горячим кошелькам пользователей и завладеть конфиденциальной информацией, такой как пароли и приватные ключи.

Компания базируется в Праге и, согласно данным ее веб-сайта, продала своим покупателям более 15 000 биткоин-банкоматов в более чем 149 странах по всему миру.

В бюллетене о выпуске обновлений от 18 марта производитель банкоматов опубликовал предупреждение о том, что хакеру удалось удаленно загрузить и запустить Java-приложение через главный сервисный интерфейс на своих терминалах с целью кражи пользовательской информации и отправки средств с горячих кошельков.

Основатель General Byes Карел Киовски в бюллетене объяснил, что это позволило хакеру добиться следующего:

"Возможность доступа к базе данных.
Возможность читать и расшифровывать API-ключи, используемые для доступа к средствам в горячих кошельках и на биржах.
Отправлять средства с горячих кошельков.
Загружать имена пользователей, хэши их паролей и отключать 2FA.
Возможность получить доступ к журналам событий терминала и просканировать все случаи, когда клиенты сканировали закрытый ключ в банкомате. Старые версии программного обеспечения банкоматов записывали эту информацию в журнал".

Из уведомления следует, что взлому подвергся как облачный сервис General Bytes, так и автономные серверы других операторов.

"Мы провели несколько аудитов безопасности с 2021 года, и ни один из них не выявил эту уязвимость", - сказал Киовски.

Горячие кошельки скомпрометированы

Хотя компания отметила, что хакер смог "Отправить средства с горячих кошельков", она не раскрыла, какая сумма была украдена в результате взлома.

Однако компания General Bytes опубликовала данные о 41 адресе кошельков, которые были использованы в атаке. Данные по цепочке показывают многочисленные транзакции в один из кошельков, в результате чего общий баланс составил 56 BTC, что по текущим ценам стоит более $1,54 млн.

Компания General Bytes опубликовала данные о 41 адресе кошельков, использованных в атаке. Источник: General Bytes

Другой кошелек показывает несколько операций с Ether (ETH), общая сумма полученных средств составила 21,82 ETH, что по текущим ценам стоит примерно $36 000.

Компания настоятельно рекомендовала операторам банкоматов BTC установить свой собственный автономный сервер и выпустила два исправления для своего Crypto Application Server (CAS), который управляет работой банкомата.

"Пожалуйста, держите CAS за брандмауэром и VPN. Терминалы также должны подключаться к CAS через VPN", - написал Киовски.

"Кроме того, считайте, что все пароли ваших пользователей, а также API-ключи к биржам и горячим кошелькам скомпрометированы. Пожалуйста, аннулируйте их и сгенерируйте новые ключи и пароли".

Ранее серверы General Bytes были взломаны в результате атаки нулевого дня в сентябре прошлого года, которая позволила хакерам сделать себя администраторами по умолчанию и изменить настройки таким образом, чтобы все средства были переведены.