Geldautomaten te hacken via wachtwoord '123456'
Niet alleen de geldautomaten van fabrikant Tranax zijn zeer eenvoudig te "hacken" en herprogrammeren zodat ze meer biljetten uitgeven dan gepind. Ook de machines van Triton en een derde fabrikant die nog niet is bekend gemaakt zijn kwetsbaar voor dit soort aanvallen. In het geval van de Triton 9100 en 9700 modellen kan een aanvaller toegang krijgen via het wachtwoord ‘123456′.
De handleidingen van beide Triton modellen, waarvan er wereldwijd meer dan 145.000 gebruikt worden, zijn vrij eenvoudig op het internet te vinden. Om misbruik te voorkomen zal het bedrijf alle "service handleidingen" van haar website halen en maandag al haar klanten inlichten om de standaard wachtwoorden te wijzigen.
Net als Tranax komt ook Triton over niet al te lange tijd met een firmware update om eigenaren te verplichten het standaard wachtwoord te wijzigen. Het is echter de vraag of mensen die niet eens de moeite nemen het standaard wachtwoord te veranderen, wel een firmware update installeren.
Volgens critici zijn niet alleen de eigenaren van de geldautomaten schuldig, maar ook de fabrikanten omdat die het toestaan dat er een standaard wachtwoord wordt gebruikt.
Dit soort systemen zou nooit een standaard wachtwoord moeten
kunnen accepteren via de numerieke pad. Beter zou zijn als
men een speciale keyboard zou moeten aansluiten.
standaard wachtwoord gebruikt wordt. Dus gewoon zorgen dat
dit niet kan in de machines.
en zet een geldautomaat op de markt, bedrijven mogen deze
van banken inzetten als service, banken laten de zorg voor
veiligheid rond hun banksystemen na en gaan er vanuit dat
fabrikanten en bedrijven daar wel goed voor zorgen.
Het zijn voor de zoveelste keer de banken die maling hebben
aan veiligheid en er zo goedkoop mogelijk vanaf willen
komen. Als klant kan je alleen maar hopen dat enig voordeel
geen nadeel wordt.
Tsja, noemen we dit implementatiefouten?
Dit soort systemen zou nooit een standaard wachtwoord moeten
kunnen accepteren via de numerieke pad. Beter zou zijn als
men een speciale keyboard zou moeten aansluiten.
wachtwoord mogen bedienen. En het apparaat zou zelfs bij aflevering
geen standaard wachtwoord mogen bevatten.
Fabrikanten zoals Nortel (telefooncentrales) zijn trouwens al jaren zeer
terughoudend om manuals op het internet te zetten.
Wat me helemaal verbaasd aan de kwestie, is dat het mogelijk is om
onlogische instructies (geef 20 dollar en boek 5 dollar af) in te voeren. Dit
zou afgeschermd moeten worden met een leverancierspassword.
Anders zou een medewerker ook nog kunnen frauderen.
toch? Ik heb dergelijke apparaten in Nederland in elk geval
nog nooit ergens gezien. Zou het kunnen dat de Nederlandse
banken hier wel veilger mee om gaan? (Of omgekeerd: wie kent
er voorbeelden van dit soort hacks met Nederlandse
geldautomaten?)
code "het land in mag".
ik weet niet of de moneyBOX van SNS ook eentje uit deze
serie is? als dat zo is hoop ik dat SNS zijn zaken goed op
orde heeft, die moneyboxen schieten namelijk als paddo's uit
de grond (tank stations (shell) maar ook MC donalds e.d.)
Tsja, noemen we dit implementatiefouten?
Dit soort systemen zou nooit een standaard wachtwoord moeten
kunnen accepteren via de numerieke pad. Beter zou zijn als
men een speciale keyboard zou moeten aansluiten.
jeetje, wat slim!
Even voor de duidelijkheid: dit gaat over Amerikaanse ATM's,
toch? Ik heb dergelijke apparaten in Nederland in elk geval
nog nooit ergens gezien. Zou het kunnen dat de Nederlandse
banken hier wel veilger mee om gaan? (Of omgekeerd: wie kent
er voorbeelden van dit soort hacks met Nederlandse
geldautomaten?)
het gaat ook om van die losse geldautomaten, niet van die
dingen die in de muur van banken enzo zitten. maar deze
losse automaten beginnen ook steeds meer in nederland te
komen, dus vermoedelijk krijgen we dit soort nieuws ook hier
wel.
en ook in nederland zijn wel trucjes mogelijk geweest
volgens mij, dat je het middelste briefje eruit kon trekken
en dat de automaat dat niet registeerde en er niks
afgeschreven werd als het geld terug genomen werd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
