Le fabricant de guichets automatiques Bitcoin General Bytes a fermé ses services cloud après avoir découvert une « vulnérabilité de sécurité » qui permettait à un attaquant d’accéder aux portefeuilles chauds des utilisateurs et d’obtenir des informations sensibles, telles que des mots de passe et des clés privées.
La société est un fabricant de guichets automatiques Bitcoin (BTC) basé à Prague, et selon sur son site Web, a vendu plus de 15 000 guichets automatiques dans plus de 149 pays à travers le monde.
Dans un bulletin de publication de correctifs du 18 mars, le fabricant de guichets automatiques publié un avertissement expliquant qu’un pirate a pu télécharger et exécuter à distance une application Java via l’interface de service principale dans ses terminaux visant à voler des informations sur les utilisateurs et à envoyer des fonds à partir de portefeuilles chauds.
Les 17 et 18 mars 2023, GENERAL BYTES a connu un incident de sécurité.
Nous avons publié une déclaration exhortant les clients à prendre des mesures immédiates pour protéger leurs informations personnelles.
Nous exhortons tous nos clients à prendre des mesures immédiates pour protéger leurs fonds et https://t.co/fajc61lcwR… https://t.co/g5FGqvqZQ7
– OCTETS GÉNÉRAUX (@generalbytes) 18 mars 2023
Le fondateur du général Byes, Karel Kyovsky, a expliqué dans le bulletin que cela a permis au pirate de réaliser ce qui suit :
- « Possibilité d’accéder à la base de données.
- Capacité à lire et à décrypter les clés API utilisées pour accéder aux fonds dans les portefeuilles chauds et les échanges.
- Envoyez des fonds à partir de portefeuilles chauds.
- Téléchargez les noms d’utilisateur, leurs hachages de mot de passe et désactivez 2FA.
- Possibilité d’accéder aux journaux d’événements du terminal et de rechercher toute instance où les clients ont scanné la clé privée au guichet automatique. Les anciennes versions du logiciel ATM enregistraient ces informations. »
L’avis révèle que le service cloud de General Bytes a été violé ainsi que les serveurs autonomes d’autres opérateurs.
« Nous avons conclu plusieurs audits de sécurité depuis 2021, et aucun d’entre eux n’a identifié cette vulnérabilité », a déclaré Kyovsky.
Portefeuilles chauds compromis
Bien que la société ait noté que le pirate était en mesure « d’envoyer des fonds à partir de portefeuilles chauds », elle n’a pas révélé le montant volé à la suite de la violation.
Cependant, General Bytes a publié les détails de 41 adresses de portefeuille qui ont été utilisées dans l’attaque. Données en chaîne montre plusieurs transactions dans l’un des portefeuilles, résultant en un solde total de 56 BTC, d’une valeur de plus de 1,54 million de dollars aux prix actuels.
Un autre portefeuille montre plusieurs transactions Ether (ETH), le total reçu s’élevant à 21,82 ETH, d’une valeur d’environ 36 000 $ aux prix actuels.
Cointelegraph a contacté General Bytes pour confirmation mais n’a pas reçu de réponse avant la publication.
En rapport: Déclin des guichets automatiques Bitcoin : plus de 400 machines ont été déconnectées du réseau en moins de 60 jours
La société a conseillé d’urgence aux opérateurs de guichets automatiques BTC d’installer leur propre serveur autonome et a publié deux correctifs pour leur Serveur d’applications cryptographiques (CAS), qui gère le fonctionnement de l’ATM.
« Veuillez garder votre CAS derrière un pare-feu et un VPN. Les terminaux doivent également se connecter au CAS via VPN », a écrit Kyovsky.
« En outre, considérez que tous les mots de passe de vos utilisateurs et les clés API des échanges et des portefeuilles actifs sont compromis. Veuillez les invalider et générer de nouvelles clés et un nouveau mot de passe. »
General Bytes avait auparavant compromis ses serveurs via une attaque zero-day en septembre de l’année dernière qui a permis aux pirates de se faire les administrateurs par défaut et de modifier les paramètres afin que tous les fonds soient transférés.