Getting your Trinity Audio player ready...
|
Dernière modification effectuée le 04.09.2023 14:41
Le pirate informatique a pu accéder à l’interface de service maître de la société, ce qui lui a permis d’envoyer des fonds à partir de hot wallet. Les ATMs de General Bytes ont été forcé de fermer temporairement à travers les États-Unis.
Un nouveau hack d’ATM Bitcoin pour $1,5 million
Le hacker a réussi à liquider 56,28 bitcoins (BTC) d’une valeur d’environ 1,5 million de dollars en utilisant 15 à 20 distributeurs automatiques de cryptomonnaies à travers le pays. La société a immédiatement publié un bulletin de sécurité, appelant tous les clients à prendre des mesures immédiates pour protéger leurs informations personnelles. Les ATMs de General Bytes ont été temporairement fermés pour la soirée et les serveurs devront être reconstruits à partir de zéro, un processus qui peut prendre du temps.
General Bytes a révélé que l’attaquant avait pu télécharger à distance sa propre application Java en utilisant l’interface de service maître, généralement utilisée par les terminaux pour télécharger des vidéos. L’attaquant avait accès aux privilèges utilisateur « BATM » et pouvait également accéder à la base de données, lire et décrypter les clés API utilisées pour accéder aux fonds dans les hot wallet et les échanges. En outre, le pirate informatique pouvait télécharger des noms d’utilisateur, accéder à leurs hachages de mot de passe, désactiver la 2FA et envoyer des fonds à partir de portefeuilles chauds.
General Bytes est en train de transférer les opérateurs de distributeurs automatiques de cryptomonnaies vers des serveurs auto-hébergés. Dans le bulletin de sécurité, la société a déclaré qu’elle cessait son service cloud. De plus, elle a expliqué avoir effectué plusieurs audits de sécurité depuis 2021, et aucun d’entre eux n’avait identifié cette vulnérabilité.
Il convient de rappeler que General Bytes avait enregistré une faille de sécurité le 18 août 2022. Le pirate informatique avait alors profité d’une attaque « zero day » pour « créer un utilisateur administrateur à distance via l’interface d’administration CAS via un appel d’URL sur la page qui est utilisée pour l’installation par défaut sur le serveur et créer le premier utilisateur administrateur« .
En ce qui concerne l’attaque des 17 et 18 mars 2023, General Bytes a non seulement divulgué les adresses utilisées dans l’attaque, mais également trois adresses IP utilisées par l’attaquant.