Geldautomaten in VS zijn te hacken

Op de hackersbeurs Black Hat in Las Vegas demonstreert een onderzoeker hoe hij Amerikaanse geldautomaten hackt. De machine spuwt de briefjes zomaar uit.

De hack werd vorige maand aangekondigd en deze week uitgevoerd door Barnaby Jack, hoofd beveiligingstests bij IOActive. Tijdens zijn demonstratie zette hij twee Amerikaanse geldautomaten op het podium. Kort daarna rolden de dollarbriefjes eruit.

Volledige controle over automaat
Jack wil vooral aantonen dat dergelijke systemen niet waterdicht zijn. Een van de pogingen houdt in dat je van buitenaf met een telefoonmodem verbinding maakt met de automaat. Zo kon hij zonder dat hij een wachtwoord nodig heeft de hele geldvoorraad opvragen.

Enkele jaren geleden kocht de man enkele losstaande bankautomaten. Zo leerde hij de kwetsbaarheden en programmeerfouten in het systeem. Naar eigen zeggen kan hij het systeem nu volledig controleren.

“Elke automaat die ik heb bekeken, heeft een game-over-kwetsbaarheid waarmee een aanvaller geld uit de machine kan krijgen.”

Wel heeft Jack alleen losstaande apparaten getest en geen ingebouwde machines zoals die aan bankfilialen zelf.

Ook in Europa?
Het is onduidelijk in welke mate Europese geldautomaten kwetsbaar zijn voor het probleem. In Nederland en België zijn bijna alle geldautomaten ingebouwde systemen die vaak letterlijk verbonden zijn met het bankkantoor.

In de VS kom je doorgaans eerder losstaande automaten tegen. Winkeliers of hoteluitbaters zetten ze in hun zaak.

Patch beschikbaar
Jack heeft Tranax en Triton, de fabrikanten van de twee automaten, vorig jaar al gewaarschuwd. Intussen hebben zij een patch uitgebracht voor de kwetsbaarheden. Maar wie een dergelijke geldmachine bezit in zijn winkel of restaurant, moet die patch uiteraard wel ook toepassen.

Niet openbaar gemaakt
Bankautomaten hacken is niet nieuw, maar het is de eerste keer dat de programmeercode van dergelijke systemen zo op de korrel wordt genomen.

In sommige gevallen was de ingebouwde brandkast bijvoorbeeld goed beveiligd, maar het moederbord dat de opdracht geeft om het geld eruit te halen niet.

Aan onze collega’s van CNet verklaarde Jack alvast dat hij de kwetsbaarheden niet openbaar zal maken.

beveiligingblackhatfinancieelgeldnieuws

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken