Bitcoin ATM üreticisi Lamassu, güvenlik araştırmacıları tarafından bulunan ve makinelerin kontrolünü ele geçirebilecek güvenlik açıklarını düzelttiğini duyurdu. IOActive’ten bir ekip, Lamassu’nun bazı ATM’lerini test ederken, saldırganların kullanıcı etkileşimlerini gözlemleyebileceğini ve manipüle edebileceğini ortaya çıkardı. Bu güvenlik açıkları, kullanıcıların cüzdanlarından Bitcoin çalınmasına yol açabilecek seviyedeydi.
IOActive’ın baş teknoloji sorumlusu Gunter Ollman, sofistike saldırganların, ATM kullanıcı deneyimini değiştirebileceğini veya sosyal mühendislik teknikleriyle kullanıcıları yanlış yönlendirebileceğini belirtti. Saldırganlar, kullanıcıları banka bilgilerini girme veya sahte promosyonlarla kandırma potansiyeline sahipti.
Güvenlik uzmanı, müdahalenin kullanıcının ATM veya üreticiye olan güvenine bağlı olduğunu ve etki alanının kullanıcının hesap bakiyesiyle sınırlı kalacağını ifade etti. IOActive’de donanım güvenliği direktörü olan Gabriel Gonzalez ise güvenlik açığının fiziksel erişime sahip saldırganlar için ciddi riskler oluşturduğunu ve bu açığın ATM’deki tüm parayı boşaltabileceğini söyledi.
Gonzalez, ATM’lerin gözetimsiz alanlarda daha fazla risk altında olduğunu dile getirerek, ATM sağlayıcısının güvenlik açığını kamuya açıklamadan önce bir güncelleme ile düzelttiğini açıkladı. Ayrıca, şirket ATM sahiplerini bu güvenlik zafiyeti hakkında bilgilendirdi ve gerekli güncellemeleri yapmaları yönünde uyardı.