يجد خبراء الأمن عيوبًا في ماكينات الصراف الآلي في الولايات المتحدة
اكتشف زوجان من الباحثين الأمنيين ثغرتين في ماكينات النقد المستخدمة على نطاق واسع في جميع أنحاء الولايات المتحدة والتي يمكن أن تسمح لمجرم مصمم على سرقة الأموال النقدية وبيانات العملاء.
اكتشف بريندا سو وتري كيون، من شركة Red Balloon Security ومقرها نيويورك، عيوبًا في الآلات المصنعة بواسطة Nautilus Hyosung America، أكبر مزود لآلات الصرف الآلي في الولايات المتحدة. من خلال الوصول إلى نفس الشبكة مثل أجهزة الصراف الآلي المستهدفة، تمكن الباحثون من الحصول على السيطرة الكاملة على الجهاز وتجاوز تدابير الأمان الخاصة به. اكتشفوا أيضًا مفاتيح رئيسية لأجهزة الصراف الآلي للبيع على Amazon.com – وهو أمر أشار إليه باحثون آخرون سابقًا.
في بيان مشترك يوم الاثنين، قال Red Balloon وNautilus Hyosung أنهما لا يملكان أي دليل على أن أي شخص قد استغل نقاط الضعف. قال الباحثون إن العيوب أثرت فقط على إصدارات التجزئة من أجهزة الصراف الآلي التابعة لشركة نوتيلوس، وليس تلك المستخدمة في المؤسسات المالية. وفقًا لتقدير شركة Red Balloon، فإن أكثر من 80.000 آلة معرضة للخطر. ووفقًا للبيان، تمتلك شركة نوتيلوس أكثر من 150 ألف جهاز صراف آلي في الولايات المتحدة.
Nautilus هي شركة تابعة لمجموعة Hyosung Corporation المقربة في كوريا الجنوبية. الثغرات الأمنية موجودة فقط في أجهزة الصراف الآلي التي طورتها ووزعتها الشركة التابعة لها في الولايات المتحدة.
قال الباحثون إنهم أبلغوا الشركة عن العيوب في الصيف وتم تطوير الإصلاح في غضون أسبوع. وقالت الشركة في البيان: “أصدرت Nautilus Hyosung America بالفعل تحديثات أمنية للبرامج الثابتة للتخفيف من التهديدات المحتملة”. قالت شركة نوتيلوس إنها “أخطرت جميع عملائها التجاريين لتحديث أجهزة الصراف الآلي الخاصة بهم على الفور بهذه التصحيحات”، والتي تم إصدارها لأول مرة في 4 سبتمبر. وقالت شركة Red Balloon إنها تعمل مع شركة Nautilus لتحسين أمان أجهزة الصراف الآلي الخاصة بها.
يوفر Red Balloon الأمان لأجهزة الكمبيوتر المدمجة داخل المنتج، مثل الطابعة أو أجهزة الصراف الآلي.
من غير الواضح عدد أجهزة الصراف الآلي التي تلقت الإصلاح بالفعل. لتثبيت التصحيح، سيتعين على فني أو مالك ماكينة الصراف الآلي إدخال عصا USB يدويًا مع تحديث البرنامج في الجهاز أو تنزيله من Nautilus، كما قال الباحثون الأمنيون. قالت Red Balloon إنها لن تصدر تفاصيل تفصيلية عن كيفية عمل العيوب بالضبط، من أجل منع المجرمين من تكرار عملهم، ولكنها قد توفر المزيد من التفاصيل الفنية في المستقبل.
قال آنج كوي، الرئيس التنفيذي ومؤسس شركة Red Balloon، إن تحديث جميع أجهزة الصراف الآلي من المحتمل أن يكون صعبًا. قال Cui: “كان جعل الأشخاص يقومون بتحديثات الأمان والبرامج الثابتة أمرًا درسناه على مدار عقد من الزمان”. “الناس فقط لا يريدون التفكير في الأمر. إنهم لا يريدون أن يفعلوا ذلك “.
اكتشف الباحثون أيضًا عيبًا في أحد تطبيقات الهاتف المحمول الذي طورته شركة نوتيلوس ويستخدمه مالكو وفنيو أجهزة الصراف الآلي. من خلال استغلال الخلل، قال الباحثون إن بإمكانهم الوصول إلى معلومات حول حسابات المستخدمين، وأجهزة الصراف الآلي – بما في ذلك الأرصدة النقدية، والموقع، وإصدار البرنامج – وطلبات الخدمة. قال الباحثون الأمنيون إن المعلومات التي يمكن الحصول عليها من تطبيق الهاتف المحمول ستكون مفيدة جدًا لمجرم محتمل في تحديد أجهزة الصراف الآلي التي ستكون الأكثر ضعفًا والتي ستحصل على أعلى مدفوعات. قالوا إن الخلل الذي تم العثور عليه في التطبيق كان في طور الإصلاح.
قال كيث لينارد، رئيس برنامج Nautilus Hyosung America في رسالة بريد إلكتروني: “على الرغم من عدم وجود دليل على استخدام هذه الثغرة الأمنية، فقد قررت Hyosung تعطيل هذه الخدمة حتى يتم إصدار الإصدارات المحدثة كإجراء وقائي”.
يمكن الوصول إلى جميع نقاط الضعف التي تم اكتشافها عن بُعد، مما يعني أن المهاجم لن يحتاج إلى وصول مادي إلى أجهزة الصراف الآلي من أجل اختراقها، فقط ليكون على نفس الشبكة.
إحدى نقاط الضعف في أجهزة الصراف الآلي التي اكتشفتها شركة Red Balloon تستهدف “نظام الإدارة عن بُعد” الخاص بالجهاز ويسمح للمجرم بسرقة بيانات أي بطاقة ائتمان أو بطاقة خصم يتم إدخالها في أجهزة الصراف الآلي أثناء إجراء المعاملة. من الناحية النظرية، يمكن للمهاجم أن يكتسح بيانات بطاقة كل شخص يستخدم جهاز الصراف الآلي دون أن يلاحظه أحد.
تم اكتشاف الثغرة الأمنية الثانية في البرنامج الذي يشغل الأجهزة الطرفية لأجهزة الصراف الآلي، مثل موزع النقود أو قارئ البطاقة أو لوحة مفاتيح PIN. وجد الباحثون أن المهاجم يمكنه بسهولة الوصول إلى البرنامج وإدخال أوامر ضارة. والنتيجة المحتملة هي إفراغ أجهزة الصراف الآلي من جميع نقودها – وهو احتمال أوضحه الباحثون خلال عرض تقديمي في مكتبهم في نيويورك.
هذه ليست المرة الأولى التي يتم فيها اكتشاف نقاط الضعف في أجهزة الصراف الآلي. وفقًا لتحقيق مشترك نشره Vice والمذيع الألماني Bayerischer Rundfunk في أكتوبر، تمكن المجرمون في أوروبا من اختراق علامة تجارية مختلفة من أجهزة الصراف الآلي لسرقة الأموال في عام 2017.
المصدر: thenationalnews
قد يهمك:
