Foto: Shutterstock/Marc Bruxelle
Kraken Security Labs, de beveiligingstak van de Amerikaanse cryptocurrency-exchange Kraken, meldt dat een groot aantal Bitcoin (BTC) geldautomaten kwetsbaar zijn in de beveiliging. Dat onthult de crypto beurs op 29 september:
🏧 Bitcoin ATMs are a convenient way to purchase crypto – but are they safe?
🕵️♂️ Kraken Security Labs discovered flaws in one major ATM fleet. Learn more: https://t.co/sYmYY1PUMx pic.twitter.com/xwMmWcgmSY
— Kraken Exchange (@krakenfx) September 29, 2021
Kraken meldt in een blogpost dat zijn beveiligingsteam “meerdere hardware en software kwetsbaarheden” tegenkwam in de bitcoin ATM’s, of BATM’s, van General Bytes. Het team vond kwetsbaarheden in de QR-code, in de Android besturingssoftware, in het ATM managementsysteem en zelfs in de behuizing van het apparaat.
Daarnaast meldt Kraken dat een groot deel van deze BATM’s zijn geconfigureerd met dezelfde standaard QR-codes voor alle beheerders. Dat betekent dat iedereen met deze QR-code naar een BATM van General Bytes kan lopen en toegang krijgt tot administratieve functies. Er is daarnaast ook een gebrek aan veilige opstartmechanismen, meldt Kraken.
General Bytes is de tweede grootste fabrikant van BATM’s in de wereld volgens Coin ATM Radar. Het bedrijf heeft maar liefst 6.391 bitcoin geldautomaten staan in de wereld waarmee het bedrijf zo’n 22,7% van de markt in handen heeft. De meeste staan in de Verenigde Staten.
Het gaat specifiek om de BATMtwo (GBBATM2) machines die meerdere kwetsbaarheden bevatten. Kraken meldt dat het al contact had opgenomen met General Bytes hierover in april. General Bytes heeft vervolgens meerdere patches uitgebracht, maar volgens Kraken vergen sommige kwetsbaarheden wellicht aanpassingen in de hardware.
In de onderstaande video toont Kraken kort hoe kwaadwillende aanvallers kwetsbaarheden in de General Bytes BATMtwo cryptocurrency ATM kunnen misbruiken:
Onlangs installeerde El Salvador een grote reeks bitcoin geldautomaten in het land vanwege de invoering van de controversiële bitcoin wet. De invoering van de wet ging echter gepaard met protesten en een van deze “Chivo” geldautomaten werd zelfs in de brand gestoken.
