Błędy w zabezpieczeniach Bitomatów?!

Bitomaty to znane już w wielu krajach odpowiedniki bankomatów, dzięki którym powinniśmy mieć możliwość w bezpieczny i szybki sposób wynienić naszą gotówkę na BTC, czy jakąkolwiek inną kryptowalutę.
Słowo „powinniśmy” jest tu jednak kluczowe, ponieważ bitomaty padły już ofiarą przynajmniej kilku włamań czy ataków.

Niedawno jednak to nie czynniki zewnętrzne miały wpływ na bezpieczeństwo umieszczanych w nich środków. Jak się okazuje, w oprogramowaniu tkwiły błędy, które pozwalały na kradzież środków w prosty sposób.

Osoba, która chciała przeprowadzić atak na bitomat, była w stanie zdalnie utworzyć profil administratora za pośrednictwem interfejsu CAS, który przeznaczony jest do zarządzania bitomatem, a był powszechnie dostępny w Internecie.
Problemu nie sprawiło również znalezienie adresu IP bitomatu. Użycie domyślnego adresu URL pozwalającego na instalację na serwerze gwarantowało dostęp do skryptu instalacyjnego. Z jego pomocą każdy mógł utworzyć konto administratora systemu.

Powszechnie używane systemy skonfigurowane są w taki sposób, aby skrypty instalacyjne usuwane były po instalacji. W tym przypadku jednak producenci bitomatów nie zadbali o ten bardzo ważny szczegół. Wywołując skrypt automatycznie stawaliśmy się administratorem systemu. Wtedy natomiast wystarczyło już tylko zalogować się na swoje konto administracyjne, podmienić adresy portfeli na swoje własne i cieszyć się z napływających (czyiś) środków.

Cały proces był w pełni wykonalny dla przeciętnego użytkownika Internetu. Nie był szczególnie skomplikowany ani czasochłonny. Producenci obiecują poprawę i lepsze zabezpieczenia dla kolejnych wersji systemu.