|
Título: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: wolfbcn en 10 Junio 2014, 18:12 pm La contraseña de acceso a la máquina era una de las que viene por defecto de fábrica, y al parecer nadie se había molestado en modificarla
Barcelona (Redacción). Una sucursal de BMO (Banco de Montreal) descubrió la semana pasada una inesperada brecha de seguridad cuando dos adolescentes de 14 años consiguieron acceder al sistema operativo con el que funcionan sus cajeros automáticos durante su pausa escolar para comer. Los estudiantes Matthew Hewlett y Caleb Turon no necesitaron más que un manual de uso de los cajeros automáticos que encontraron en internet para entrar en el modo de administrador de un cajero ubicado en el exterior de un supermercado. Los dos chicos pudieron ver cuánto dinero había en la máquina, el número de transacciones se habían producido y demás información financiera a la que no tienen acceso los clientes del banco. "Pensamos que sería divertido intentarlo, pero no esperábamos que funcionase", confesó Hewlett al medio canadiense Winnipeg.com ."Cuando accedimos, nos pidió una contraseña". Los chavales la acertaron a la primera, ya que la máquina utilizaba una de las contraseñas que viene por defecto de fábrica, y que al parecer nadie se había molestado en modificar. Los adolescentes tuvieron incluso la ocurrencia de modificar el saludo del cajero, cambiando "Welcome to the BMO ATM" por "Go away. This ATM has been hacked" (Váyase. Este cajero ha sido pirateado). Los propios chicos dieron aviso a los responsables de la sucursal de su descubrimiento. El gerente de la oficina les invitó a explicar a los responsables de seguridad del banco cómo habían accedido a sus sistemas, e incluso se ofreció a escribirles una nota para justificar ante sus profesores su retraso a la hora de volver al instituto por la tarde. http://www.lavanguardia.com/tecnologia/20140610/54409796061/chicos-14-anos-hackean-cajero-usando-manual-en-internet.html Título: Re: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: Martin-Ph03n1X en 10 Junio 2014, 18:45 pm pasen el tuto xD
Título: Re: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: Gh057 en 10 Junio 2014, 18:48 pm excelente. futuros whitehat. XD saludos
Título: Re: Re: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: alkage en 11 Junio 2014, 01:59 am Excelente! De no creer!
si hubiera sido yo y un amigo quedaba a prueba mi honestidad :-P Título: Re: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: engel lex en 11 Junio 2014, 02:15 am no se crean tampoco... pueden ver los datos historia del cajero, pero no obtener dinero (si no, cualquier gerente o conocedor de la clave, lo haría y jamás lo agarrarían XD)
Título: Re: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: Kami en 11 Junio 2014, 02:33 am Según leí en medios canadienses hace falta acceso físico al cajero (no sólo con el touch-screen sirve). ¿Alguien sabe como accedieron al panel?
Recuerdo que en las máquinas de cocacola se podía hacer, era pulsando el primero, tercero, quinto, segundo, cuarto xD Título: Re: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: Gh057 en 11 Junio 2014, 03:17 am bueno, algunos tienen un puerto usb... y muchos todavía, hasta XP :xD
los cajeros de dicha red tienen aparte un teclado tipo numérico, no es totalmente táctil, y con el manual de atm... supongo que algunos se quedarán sin empleo... por no leer. en la última página, la 172 recomiendan cambiar ambas claves por defecto, la master y la default. XD Título: Re: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: Kami en 11 Junio 2014, 16:24 pm Según el manual es por ethernet... me parece raro que haya una entrada ethernet a la vista xD
Título: Re: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: Gh057 en 11 Junio 2014, 16:42 pm hola kami, como charlábamos y te comentaba por mp, si bien no debería ser accesible dicho manual, la vulnerabilidad surge por no implementar de forma correcta políticas de seguridad al respecto... no solo no se cambió las claves por defecto al inicio de la instalación y configuración de la terminal, sino que luego no hubo un control para asegurarse que se haya realizado de manera correcta dicho procedimiento...
el acceso es por el panel, con un lag de seguridad, y mediante credenciales como master o administrator. los terminales efectivamente tienen una conexion ethernet para conectarse a la red de la entidad. una sola mejora indicaría desde el lado del fabricante (ya que toda la responsabilidad es por negligencia por parte de los responsables de sistemas del banco cliente) es que el acceso sea solo mediante teclado físico, y el mismo o bien se inserte para operar solamente, o bien esté incluído en el aparato bajo un tapa con cerradura u otro elemento de seguridad (así como puerto usb, rj-45 etc etc); para que solamente sea accedido por personal autorizado de la entidad y no por usuarios clientes de la terminal; que es lo que finalmente ocurrió en este caso. también replantearse el uso de software libre como sistema operativo en ellas... hace poco hubo un informe sobre entidades que tenían terminales con XP. y el mismo ya está prácticamnete desatendido... saludos Título: Re: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: Kami en 11 Junio 2014, 17:40 pm Pero mi pregunta es ¿Como accedieron al panel administrador? (antes de poner la contraseña).
Se que en ciertos cajeros o como en Renfe se puede acceder al panel 'secreto' pulsando varias veces en una de las esquinas de la pantalla táctil, pero aquí mi pregunta es ¿Cómo? Título: Re: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: Gh057 en 11 Junio 2014, 17:46 pm pág 24... >:D saludos
Título: Re: Dos chicos de 14 años 'hackean' un cajero usando un manual de internet Publicado por: Kami en 11 Junio 2014, 19:49 pm Merci.... xDDDD
|