Биткойн-банкоматы опустели после того, как хакеры воспользовались ошибкой нулевого дня
23 марта 2023 г.Неизвестным хакерам удалось украсть 56 биткойнов на сумму около 1,5 миллиона долларов из специализированных банкоматов, предназначенных для раздачи криптовалюты. Хуже всего то, что украденные средства частично принадлежали клиентам банкомата.
Согласно отчету, банкоматы работают, позволяя клиентам подключаться к службе криптографических приложений (CAS ) управляют либо они, либо компания. Однако банкомат также позволял клиентам загружать видео с терминала в CAS — видимо, именно здесь и скрывалась ошибка.
Ранее неизвестная уязвимость нулевого дня позволила злоумышленникам загрузить и запустить вредоносное Java-приложение, а также использовать его для слива CAS, управляемых как компанией, так и ее клиентами.
Удержание клиентов на плаву
Компания General Bytes, разработавшая банкоматы, устранила проблему через 15 часов после того, как узнала о ней. Однако единственный способ вернуть средства — это заставить полицию найти и арестовать преступников, а затем конфисковать и вернуть украденную криптовалюту, что, очевидно, легче сказать, чем сделать.
«Ночь 17-го- 18 марта было самым сложным временем для нас и некоторых наших клиентов. Вся команда работает круглосуточно, чтобы собрать все данные о нарушении безопасности, и постоянно работает над разрешением всех случаев, чтобы помочь клиентам вернуться в онлайн и продолжить работу со своими банкоматами как можно скорее», — говорится в сообщении компании.
"Мы приносим извинения за то, что произошло, пересмотрим все наши процедуры безопасности и в настоящее время делаем все возможное, чтобы наши пострадавшие клиенты оставались на плаву".
Загрузив и запустив вредоносное ПО, злоумышленник получил доступ к базе данных банкомата, прочитал и расшифровал закодированные ключи API, необходимые для доступа к средствам, и, наконец, сумел вывести криптовалюту на отдельный кошелек. Кроме того, злоумышленникам удалось загрузить хэши имен пользователей и паролей, отключить многофакторную аутентификацию (MFA) и получить доступ к журналам событий терминала для сканирования закрытых ключей клиентов.
Одна из вещей, которую General Bytes меняет в будущем, заключается в том, что она больше не будет управлять CAS для своих клиентов — им придется делать это самостоятельно (если они вообще решат остаться).< /p>
- Вот наш список наилучшей защиты от кражи удостоверений личности. прямо сейчас
Через: Арс Техника
Оригинал
🔥 Популярное на этой неделе
-
Новые фильмы Netflix 2023 года: самые большие оригинальные фильмы, выходящие на стример
28 декабря 2022 г. -
Новые фильмы 2023 года: самые крупные предстоящие релизы скоро появятся в кинотеатрах
7 декабря 2022 г. -
8 проектов с открытым исходным кодом, которые помогут вашему бизнесу работать эффективно
6 апреля 2022 г. -
Новое обновление Xbox Series X только что вышло и может сэкономить вам деньги
12 января 2023 г. -
Marvel’s Wolverine: все, что мы знаем об эксклюзиве для PS5 на данный момент
31 марта 2023 г.
⭐ Самое популярное
-
Marvel’s Wolverine: все, что мы знаем об эксклюзиве для PS5 на данный момент
31 марта 2023 г. -
Новые фильмы 2023 года: самые крупные предстоящие релизы скоро появятся в кинотеатрах
7 декабря 2022 г. -
8 проектов с открытым исходным кодом, которые помогут вашему бизнесу работать эффективно
6 апреля 2022 г. -
Новые фильмы Netflix 2023 года: самые большие оригинальные фильмы, выходящие на стример
28 декабря 2022 г. -
Новое обновление Xbox Series X только что вышло и может сэкономить вам деньги
12 января 2023 г.
Categories
- Технологии и IT (27234)
- Игры, развлечения и хобби (4775)
- Искусственный интеллект и будущее (294)
- Бизнес и предпринимательство (273)
- Общество и культура (244)
- Дизайн и креатив (202)
- Экономика и финансы (107)
- Социальные медиа и интернет-культура (107)
- Наука и исследования (74)
- Спорт и здоровье (55)
- Психология и саморазвитие (50)
- Образование и обучение (20)
- Маркетинг и реклама (17)
- Путешествия и lifestyle (6)