O provedor de caixas eletrônicos de Bitcoin, Lamassu Industries, corrigiu uma vulnerabilidade em suas máquinas de caixa eletrônico Bitcoin (BTC) após uma equipe de hackers éticos assumir o controle total dos dispositivos, destacando algumas de suas falhas.
Em 2023, pesquisadores de segurança da IOActive tentaram sequestrar vários caixas eletrônicos emitidos pela Lamassu. Enquanto trabalhavam para acessar as máquinas, a equipe de pesquisa identificou várias vulnerabilidades que conseguiram explorar para ganhar acesso aos caixas eletrônicos.
O diretor de tecnologia da IOActive, Gunter Ollman, disse ao Cointelegraph que, por meio da exploração, os atacantes poderiam "visualizar e manipular interações com o caixa eletrônico sequestrado". O profissional de segurança explicou que os hackers poderiam roubar BTC da carteira do usuário por meio do caixa eletrônico usando as vulnerabilidades. Ollman explicou:
“Um atacante sofisticado, com preparação suficiente, poderia modificar ou substituir toda a experiência do usuário do caixa eletrônico e enganar socialmente o usuário para realizar ações adicionais.”
O executivo disse que o atacante também poderia enganar o usuário a inserir seus detalhes bancários, atraindo-os com ofertas como Bitcoin grátis ou com desconto. No entanto, Ollman também assegurou à comunidade que o efeito seria limitado ao saldo da conta do usuário.
“No final das contas, quando um dispositivo pode ser comprometido até o nível do sistema operacional, o escopo do ataque contra o usuário é limitado apenas à confiança do usuário no dispositivo ou fabricante do dispositivo que estão usando,” ele adicionou.
Enquanto isso, Gabriel Gonzalez, diretor de segurança de hardware da IOActive, acrescentou que a vulnerabilidade permite que um atacante com acesso físico ao caixa eletrônico tenha “controle total”. Gonzalez explicou que, além de roubar Bitcoin, a vulnerabilidade também poderia levar à drenagem de todo o dinheiro no caixa eletrônico. Também poderia “enganar o leitor de notas” para exibir um valor maior de dinheiro sendo depositado em vez do valor real.
O executivo também acrescentou que os caixas eletrônicos poderiam ter sido explorados de várias maneiras, especialmente se fossem deixados sem supervisão onde quer que estivessem localizados.
Embora a falha nos caixas eletrônicos pudesse ter tido um efeito grave em seus usuários, o provedor do caixa eletrônico já implantou uma correção por meio de um patch de segurança antes da vulnerabilidade ser divulgada ao público em 2024. A empresa informou os proprietários de caixas eletrônicos e solicitou que atualizassem suas máquinas de caixa eletrônico Bitcoin.
VEJA MAIS:
