Foto: Parilov/Shutterstock
Bitcoin (BTC) ATM-provider Lamassu Industries heeft een fout ontdekt in zijn bitcoin geldautomaten. Gunter Ollman, hoofd technologie van IOActive, zei dat aanvallers door de kwetsbaarheden gemakkelijk bitcoin van gebruikers via de geldautomaat konden stelen.
Hackers hadden volledige toegang kunnen krijgen
De bitcoin-fout in de automaat van Lamassu Industries gaf hackers volledige toegang om bitcoin bij gebruikers te stelen. Ollman vertelde verder dat aanvallers door de fout mee konden kijken bij de geldautomaat en deze ook konden manipuleren. Ook legde hij het volgende uit:
”Een hacker zou, met voldoende voorbereiding, de volledige gebruikerservaring van de geldautomaat kunnen wijzigen of vervangen. De gebruiker kan zo gemanipuleerd worden om aanvullende acties uit te voeren.”
De aanvullende acties zouden bijvoorbeeld het extra invoeren van bankrekeninggegevens zijn om aanbiedingen te krijgen. Deze aanbiedingen zouden volgens Ollman gratis bitcoin of korting op de aanschaf van bitcoin zijn. Verder zei Gabriel Gonzalez, directeur hardware beveiliging van IOActive, dat de crypto automaat ook geleegd kon worden. Zo zouden hackers de gebruiker kunnen misleiden door een hoger geldbedrag weer te geven dan daadwerkelijk was gestort.
Ethische hackers vinden kwetsbaarheden
Een team van ethische hackers van IOActive heeft verschillende kwetsbaarheden gevonden. Een ethische hacker is iemand die op zoek gaat naar kwetsbaarheden van soft- en hardware en deze netjes melden bij bedrijven of overheden.
Vorig jaar probeerden de ethische hackers toegang te krijgen tot de bitcoin-geldautomaten om zo eventuele kwetsbaarheden te identificeren. Dat lukte en zo konden ze bijvoorbeeld toegang krijgen tot de camera van het geldautomaat zoals hieronder op de foto.
Bitcoin-fout in geldautomaten opgelost
Hoewel de fout in de geldautomaten potentieel ernstige gevolgen had kunnen hebben voor gebruikers, is deze inmiddels verholpen. De ATM-provider heeft een beveiligingspatch ingevoerd voordat de fout aan het publiek werd bekendgemaakt.
Lamassu Industries heeft ook eigenaren van de geldautomaten gewaarschuwd en gaf ook aan om de beveiliging aan te passen. Zo is er voorkomen dat hackers alsnog toegang kunnen krijgen in de toekomst.
