Le fabricant de distributeurs automatiques de bitcoins General Bytes a fermé ses services cloud suite à la découverte d'une « faille de sécurité », qui permettait à un pirate d'accéder aux hot wallets des utilisateurs et d'obtenir des informations sensibles, telles que des mots de passe et des clés privées.

L'entreprise est un fabricant de guichets automatiques Bitcoin (BTC) basé à Prague. Selon son site web, elle a vendu plus de 15 000 guichets automatiques à plus de 149 pays dans le monde entier.

Dans un rapport de publication de correctifs daté du 18 mars, le fabricant de DAB a émis un avertissement expliquant qu'un pirate a pu télécharger et exécuter à distance une application Java via l'interface de service principale de ses terminaux, dans le but de voler des informations sur les utilisateurs et d'envoyer des fonds à partir de hot wallets.

Les 17 et 18 mars 2023, GENERAL BYTES a connu un incident de sécurité. Nous avons publié un communiqué demandant à nos clients de prendre des mesures immédiates pour protéger leurs informations personnelles. Nous demandons à tous nos clients de prendre des mesures immédiates pour protéger leurs fonds et https://t.co/fajc61lcwR... https://t.co/g5FGqvqZQ7- GENERAL BYTES (@generalbytes) 18 mars 2023

Dans son communiqué, le fondateur de General Byes, Karel Kyovsky, explique que cela a permis au pirate d'obtenir ce qui suit :

  • « Capacité d'accéder à la base de données.
  • Possibilité de lire et de décrypter les clés API utilisées pour accéder aux fonds dans les hot wallets et les exchanges.
  • Envoyer des fonds à partir de hot wallets.
  • Télécharger les noms d'utilisateurs, leurs mots de passe et désactiver la fonction 2FA.
  • Possibilité d'accéder aux journaux d'événements des terminaux et de rechercher tous les cas où les clients ont scanné leur clé privée au guichet automatique. Les versions antérieures des logiciels de guichets automatiques enregistraient ces informations. »

L'avis révèle que le service cloud de General Bytes a été violé, ainsi que les serveurs autonomes d'autres opérateurs.

« Nous avons réalisé de nombreux audits de sécurité depuis 2021, et aucun d'entre eux n'a identifié cette vulnérabilité. », a déclaré M. Kyovsky.

Les hot wallets compromis

Bien que l'entreprise ait indiqué que le pirate avait pu « envoyer des fonds à partir de hot wallets », elle n'a pas révélé le montant volé à la suite de la violation.

Cependant, General Bytes a publié les informations relatives à 41 adresses de portefeuilles qui ont été utilisées dans l'attaque. Les données on-chain montrent de multiples transactions dans l'un des portefeuilles, résultant en un solde total de 56 BTC, d'une valeur de plus de 1,54 million de dollars aux prix actuels

General Bytes a publié les informations relatives aux 41 adresses de portefeuilles utilisées lors de l'attaque. Source : General Bytes

Un autre portefeuille montre de multiples transactions en ethers (ETH), le total reçu s'élevant à 21,82 ETH, d'une valeur d'environ 36 000 dollars au cours actuel.

Cointelegraph a contacté General Bytes pour obtenir une confirmation, mais n'a pas reçu de réponse avant la publication de cet article.

À lire également : Déclin des distributeurs automatiques de bitcoins : Plus de 400 machines ont été mises hors service en moins de 60 jours

L'entreprise a conseillé d'urgence aux opérateurs de DAB BTC d'installer leur propre serveur autonome, et a publié deux correctifs pour son Crypto Application Server (CAS), qui gère le fonctionnement du DAB.

General Bytes est un fabricant de guichets automatiques Bitcoin basé à Prague qui a vendu plus de 15 000 guichets automatiques dans le monde. Source : General Bytes

« Veuillez conserver votre CAS derrière un pare-feu et un VPN. Les terminaux doivent également se connecter au CAS via un VPN. », a écrit M. Kyovsky.

« En outre, tous les mots de passe de vos utilisateurs, ainsi que les clés API des exchanges et des hot wallets, sont considérés comme compromis. Veuillez les invalider et générer de nouvelles clés et de nouveaux mots de passe. »

Les serveurs de General Bytes avaient déjà été compromis par une attaque de type zero-day en septembre de l'année dernière, qui avait permis aux pirates de devenir les administrateurs par défaut et de modifier les paramètres de manière à ce que tous les fonds soient transférés.