Dos chicos de 14 años 'hackean' un cajero usando un manual de internet

Iniciado por wolfbcn, 10 Junio 2014, 18:12 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

La contraseña de acceso a la máquina era una de las que viene por defecto de fábrica, y al parecer nadie se había molestado en modificarla

Barcelona (Redacción). Una sucursal de BMO (Banco de Montreal) descubrió la semana pasada una inesperada brecha de seguridad cuando dos adolescentes de 14 años consiguieron acceder al sistema operativo con el que funcionan sus cajeros automáticos durante su pausa escolar para comer.

Los estudiantes Matthew Hewlett y Caleb Turon no necesitaron más que un manual de uso de los cajeros automáticos que encontraron en internet para entrar en el modo de administrador de un cajero ubicado en el exterior de un supermercado. Los dos chicos pudieron ver cuánto dinero había en la máquina, el número de transacciones se habían producido y demás información financiera a la que no tienen acceso los clientes del banco.

"Pensamos que sería divertido intentarlo, pero no esperábamos que funcionase", confesó Hewlett al medio canadiense Winnipeg.com ."Cuando accedimos, nos pidió una contraseña". Los chavales la acertaron a la primera, ya que la máquina utilizaba una de las contraseñas que viene por defecto de fábrica, y que al parecer nadie se había molestado en modificar.

Los adolescentes tuvieron incluso la ocurrencia de modificar el saludo del cajero, cambiando "Welcome to the BMO ATM" por "Go away. This ATM has been hacked" (Váyase. Este cajero ha sido pirateado).

Los propios chicos dieron aviso a los responsables de la sucursal de su descubrimiento. El gerente de la oficina les invitó a explicar a los responsables de seguridad del banco cómo habían accedido a sus sistemas, e incluso se ofreció a escribirles una nota para justificar ante sus profesores su retraso a la hora de volver al instituto por la tarde.

http://www.lavanguardia.com/tecnologia/20140610/54409796061/chicos-14-anos-hackean-cajero-usando-manual-en-internet.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

Martin-Ph03n1X

  No eres tu trabajo, no eres cuanto tienes en el banco, no eres el auto que conduces, ni el contenido en tu billetera, no eres tus malditos cakis, eres el bailarin cantante del mundo...!!!"

Gh057

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...

alkage

Excelente! De no creer!
si hubiera sido yo y un amigo quedaba a prueba mi honestidad :-P

engel lex

no se crean tampoco... pueden ver los datos historia del cajero, pero no obtener dinero (si no, cualquier gerente o conocedor de la clave, lo haría y jamás lo agarrarían XD)
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Kami

Según leí en medios canadienses hace falta acceso físico al cajero (no sólo con el touch-screen sirve). ¿Alguien sabe como accedieron al panel?

Recuerdo que en las máquinas de cocacola se podía hacer, era pulsando el primero, tercero, quinto, segundo, cuarto xD

Gh057

bueno, algunos tienen un puerto usb... y muchos todavía, hasta XP  :xD
los cajeros de dicha red tienen aparte un teclado tipo numérico, no es totalmente táctil, y con el manual de atm...

supongo que algunos se quedarán sin empleo... por no leer. en la última página, la 172 recomiendan cambiar ambas claves por defecto, la master y la default. XD
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...

Kami

Según el manual es por ethernet... me parece raro que haya una entrada ethernet a la vista xD

Gh057

hola kami, como charlábamos y te comentaba por mp, si bien no debería ser accesible dicho manual, la vulnerabilidad surge por no implementar de forma correcta políticas de seguridad al respecto... no solo no se cambió las claves por defecto al inicio de la instalación y configuración de la terminal, sino que luego no hubo un control para asegurarse que se haya realizado de manera correcta dicho procedimiento...

el acceso es por el panel, con un lag de seguridad, y mediante credenciales como master o administrator.

los terminales efectivamente tienen una conexion ethernet para conectarse a la red de la entidad.

una sola mejora indicaría desde el lado del fabricante (ya que toda la responsabilidad es por negligencia por parte de los responsables de sistemas del banco cliente) es que el acceso sea solo mediante teclado físico, y el mismo o bien se inserte para operar solamente, o bien esté incluído en el aparato bajo un tapa con cerradura u otro elemento de seguridad (así como puerto usb, rj-45 etc etc); para que solamente sea accedido por personal autorizado de la entidad y no por usuarios clientes de la terminal; que es lo que finalmente ocurrió en este caso.

también replantearse el uso de software libre como sistema operativo en ellas... hace poco hubo un informe sobre entidades que tenían terminales con XP. y el mismo ya está prácticamnete desatendido...

saludos
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...

Kami

Pero mi pregunta es ¿Como accedieron al panel administrador? (antes de poner la contraseña).

Se que en ciertos cajeros o como en Renfe se puede acceder al panel 'secreto' pulsando varias veces en una de las esquinas de la pantalla táctil, pero aquí mi pregunta es ¿Cómo?