Il pirata informatico è riuscito ad accedere all’interfaccia di servizio principale dell’azienda, permettendogli di inviare fondi dai hot wallet. I bancomat di General Bytes sono stati temporaneamente chiusi in tutti gli Stati Uniti.
Un nuovo attacco ai bancomat Bitcoin per 1,5 milioni di dollari
Il hacker è riuscito a prelevare 56,28 bitcoin (BTC) del valore di circa 1,5 milioni di dollari utilizzando 15-20 distributori automatici di criptovalute in tutto il paese. L’azienda ha immediatamente pubblicato un bollettino di sicurezza, chiedendo a tutti i clienti di prendere misure immediate per proteggere le loro informazioni personali. I bancomat di General Bytes sono stati temporaneamente chiusi per la serata e i server dovranno essere ricostruiti da zero, un processo che potrebbe richiedere del tempo.
General Bytes ha rivelato che l’attaccante è riuscito a scaricare a distanza la propria applicazione Java utilizzando l’interfaccia di servizio principale, solitamente impiegata dai terminali per scaricare video. L’attaccante aveva accesso ai privilegi utente “BATM” e poteva anche accedere al database, leggere e decrittografare le chiavi API utilizzate per accedere ai fondi nelle hot wallet e negli scambi. Inoltre, il pirata informatico poteva scaricare i nomi utente, accedere ai loro hash delle password, disabilitare la 2FA e inviare fondi dai portafogli caldi.
General Bytes sta spostando gli operatori di distributori automatici di criptovalute su server auto-ospitati. Nel bollettino di sicurezza, l’azienda ha dichiarato di terminare il proprio servizio cloud. Inoltre, ha spiegato di aver effettuato diversi audit di sicurezza dal 2021, e nessuno di essi aveva identificato questa vulnerabilità.
Va ricordato che General Bytes aveva registrato una falla di sicurezza il 18 agosto 2022. Il pirata informatico aveva sfruttato un attacco “zero day” per “creare un utente amministratore a distanza tramite l’interfaccia di amministrazione CAS attraverso una chiamata URL sulla pagina utilizzata per l’installazione predefinita sul server e creare il primo utente amministratore”.
Per quanto riguarda l’attacco del 17 e 18 marzo 2023, General Bytes ha non solo divulgato gli indirizzi utilizzati nell’attacco, ma anche tre indirizzi IP utilizzati dall’attaccante.