General Bytes, una de las principales empresas fabricantes de cajeros automáticos de Bitcoin (BTC) y criptomonedas, ha cerrado su servicio en la nube después de que un hacker consiguiera explotar una vulnerabilidad de seguridad en el sistema que le permitía acceder de forma remota a la interfaz del servicio principal y enviar los fondos desde las hot wallets de sus usuarios. El atacante sustrajo más de USD 1,5 millones de entre 15 y 20 operadores de cajeros automáticos de criptomonedas en Estados Unidos.
General Bytes publicó en Twitter que el incidente tuvo lugar los días 17 y 18 de marzo, explicando que el hacker fue capaz de cargar y ejecutar de forma remota una aplicación Java a través de la interfaz de servicio maestro en sus terminales.
On March 17-18th, 2023, GENERAL BYTES experienced a security incident.
We released a statement urging customers to take immediate action to protect their personal information.
We urge all our customers to take immediate action to protect their funds and https://t.co/fajc61lcwR… https://t.co/g5FGqvqZQ7
— GENERAL BYTES (@generalbytes) March 18, 2023
¿CÓMO SE PRODUJO EL EXPLOIT?
El fabricante de cajeros automáticos de criptomonedas añadió que el explotador tenía acceso a los privilegios de usuario BATM que le autorizaban a acceder a la base de datos y descifrar las claves API utilizadas para acceder a los fondos de las hot wallets y exchanges. Esto permitió al atacante descargar los nombres de usuario, acceder a los hashes de sus contraseñas, desactivar el 2FA y, lo que es más importante, enviar los fondos.
Tras descubrir la vulnerabilidad de seguridad, General Bytes emitió un comunicado instando a los clientes a tomar medidas inmediatas para proteger su información personal. La empresa añadió,
«Instamos a todos nuestros clientes a tomar medidas inmediatas para proteger sus fondos y su información personal y a leer atentamente el boletín de seguridad».
Según las estadísticas on-chain, el hacker robó cerca de 56,28 Bitcoins (BTC) por un valor aproximado de USD 1,5 millones y liquidó docenas de otras criptomonedas como Ethereum (ETH), Tether (USDT), Binance USD (BUSD), Cardano (ADA), Dai (DAI), Dogecoin (DOGE), Shiba Inu (SHIB), y Tron (TRX) entre muchas otras.
ADVERTENCIAS DE SEGURIDAD
General Bytes dio a conocer los detalles de las 41 direcciones de wallets que se utilizaron en el ataque, citando todas las contraseñas de usuario, junto con las claves API de los exchanges y hot wallets que se vieron comprometidos. La empresa emitió una advertencia en la que pedía a todos sus usuarios que invalidasen las credenciales anteriores y generasen nuevas claves y contraseñas. Mientras tanto, ha suspendido sus servicios en la nube temporalmente y también se ha informado del cierre de los cajeros automáticos de la empresa en Estados Unidos.
Hackers have exploited a zero-day #vulnerability in #Bitcoin ATMs manufactured by General Bytes to steal cryptocurrencies from users.
Details: https://t.co/1PZyyFYZ4S#infosec #hacking #cybersecurity
— The Hacker News (@TheHackersNews) August 22, 2022
No es la primera vez que General Bytes sufre una brecha de seguridad. En agosto de 2022, la empresa informó de un ataque que provocó el robo de Bitcoins depositados en cajeros automáticos. En ese momento, la empresa dijo que los piratas informáticos habían robado alrededor de USD 16.000. La empresa tiene su sede en Praga y, según su sitio web, ha vendido más de 15.000 cajeros automáticos de Bitcoin a compradores de más de 149 países de todo el mundo.
