Lamassu Industries corrige une vulnérabilité critique de sécurité des guichets automatiques Bitcoin découverte par des pirates éthiques
Summary:
Lamassu Industries a corrigé une faille de sécurité dans ses distributeurs automatiques de bitcoins, qui permettait auparavant aux pirates de contrôler les machines et de voler potentiellement des bitcoins aux utilisateurs. Découverte par des pirates éthiques d’IOActive en 2023, la faille aurait également pu permettre aux attaquants d’extraire tout l’argent des distributeurs automatiques de billets ou de manipuler le lecteur de billets de caisse pour surestimer les fonds déposés. Lamassu a publié un correctif de sécurité et a exhorté les propriétaires de distributeurs automatiques de billets à mettre à jour leurs machines avant de révéler publiquement la faille en 2024.
Lamassu Industries, l’un des principaux fabricants de guichets automatiques (DAB) Bitcoin, a récemment corrigé une faille de sécurité dans ses machines qui avait potentiellement exposé les utilisateurs de Bitcoin à des menaces de piratage. Le problème a été mis en lumière lorsqu’un groupe de pirates consciencieux a tenté de s’introduire dans plusieurs distributeurs automatiques de bitcoins produits par Lamassu en 2023. Malgré leurs attaques, l’équipe de piratage a fini par découvrir plusieurs faiblesses exploitables, démontrant avec succès un contrôle total sur un guichet automatique, y compris sa caméra et son système.
Le directeur de la technologie d’IOActive, Gunter Ollman, a partagé avec Cointelegraph les implications alarmantes de ces vulnérabilités de guichets automatiques. Il a révélé qu’un attaquant équipé de ces exploits pourrait manipuler l’interaction de l’utilisateur avec le guichet automatique, au point même de voler des bitcoins directement dans le portefeuille de l’utilisateur. Ollman a en outre expliqué que les assaillants pouvaient altérer l’ensemble de l’expérience de l’utilisateur du guichet automatique, trompant l’utilisateur pour qu’il effectue sans le savoir des actions supplémentaires - potentiellement dangereuses.
Il a également suggéré que ces acteurs sans scrupules pourraient inciter les utilisateurs à exposer leurs coordonnées bancaires en leur promettant des incitations fictives, telles que des bitcoins gratuits ou à prix réduit. Cependant, Ollman n’a pas tardé à assurer aux utilisateurs que les dommages potentiels seraient contenus dans le solde du compte d’un utilisateur individuel.
De plus, si l’ensemble du système d’exploitation du guichet automatique est compromis, Ollman a averti que l’ampleur d’une attaque dépend en grande partie du degré de confiance de l’utilisateur dans le guichet automatique ou son fabricant. Dans le même ordre d’idées, Gabriel Gonzalez, directeur de la sécurité matérielle chez IOActive, a averti que les vulnérabilités exploitées pourraient permettre à un attaquant physiquement présent d’avoir un contrôle total sur le guichet automatique Bitcoin.
En plus du vol de bitcoins, une telle faille de sécurité pourrait entraîner le siphonnage de tout l’argent présent dans le guichet automatique. Il pourrait même induire en erreur le lecteur de billets de caisse, en affichant un chiffre gonflé d’argent déposé par rapport au montant réel. Compte tenu de la gravité des violations potentielles, en particulier si les guichets automatiques ne sont pas surveillés, Gonzalez a souligné de nombreuses façons dont les guichets automatiques auraient pu être utilisés à mauvais escient.
Cependant, avant que cette vulnérabilité ne soit rendue publique en 2024, Lamassu Industries a rapidement résolu le problème en publiant un correctif de sécurité. L’entreprise a également contacté les propriétaires de guichets automatiques, leur conseillant fortement de mettre à jour leurs distributeurs automatiques de bitcoins.
Published At
1/25/2024 11:40:24 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.