Пароли для взлома банкоматов можно "нагуглить" за четверть часа

        С использованием ключей, полученных из видео YouTube, и запроса в Google преступник может найти пошаговые рекомендации, как взломать и контролировать тысячи американских банкоматов.
        Согласно репортажу CNN из Вирджиния Бич, штат ХХХ, существует видеозапись YouTube с подробным рассказом о том, как некто перепрограммировал банкомат на заправочной станции таким образом, чтобы тот выдал ему 25-долларовые банкноты вместо 20-долларовых. После его просмотра некий служащий системы безопасности из Нью-Йорка провел небольшое старое доброе онлайн-расследование и обнаружил, что инструкцию по эксплуатации для отдельных моделей банкоматов можно легально получить в течение 15 минут.
        Хотя Дейв Голдсмит, основатель и президент подразделения по проверке доступа Matasano Security в Нью-Йорке, не сообщил, как именно он обнаружил инструкцию для оператора, которая содержит основные пароли и другую важную информацию касательно безопасности автоматов для выдачи наличных, но расследование, проведенное eWEEK, показало, что в ответ на простой запрос в Google выдает 102-страничный файл в формате PDF, где содержится вся необходимая информация для взлома.
        Голдсмит, тот самый исследователь, бывший в числе основателей @Stake и в прошлом глава Академии Безопасности Symantec, заявил, что для идентификации модели банкомата (Tranax Mini-Bank 1500 Series) он следовал инструкциям, данным в видеозаписи, и начал эксперимент, чтобы посмотреть, насколько легко добыть операторскую инструкцию к банкомату законным путем.
        В своем интервью eWEEK Голдсмит добавил, что он вначале зашел на сайт Tranax Technologies. Там он нашел статью с базовой информацией, где упоминалось, что банкомат запрограммирован с использованием паролей, которые можно найти в операторской инструкции.
        "Таким образом, если вы получите эту инструкцию, вы сможете поменять конфигурацию банкомата, если не был изменен пароль по умолчанию. Я полагаю, что в большинстве банковских мини-терминалов никто и не менял пароли по умолчанию", продолжил Голдсмит.
        Представители компании Tranax не ответили на запрос комментариев от eWEEK. На сайте Tranax содержится информация о том, что компания уже снабдила страну 70000 банкоматов, терминалов самообслуживания и киосками для обработки транзакций. Большинство в этих поставках – пресловутые машины Mini-Bank 1500 , одна из которых и была перепрограммирована в Вирджиния Бич.
        В операторской инструкции, бесплатно предоставленной на сайте канадской компании, в разделе под названием "Программирование" находится информация об особой последовательности клавиш, которая вызывает появление на экране банкомата окна с запросом главного пароля. Затем в инструкции дается список паролей по умолчанию – главного, сервисного и операторского – которые можно использовать для вскрытия и опустошения машины.
        Руководство также содержит инструкции, как войти в режим диагностики, как запрограммировать клавиши банкомата на выдачу наличных и как изменить пароли, чтобы в дальнейшем управлять машиной.
        "Это нельзя назвать уязвимостью, - объясняет Голдсмит. – Это тот случай, когда некто воспользовался слабостью политики владельцев банкоматов, которые устанавливают оборудование и не меняют пароли по умолчанию. Если вы владеете такими устройствами, убедитесь, что вы не используете пароли по умолчанию. Если это так, смените их немедленно".
        Раздел руководства под названием "Операционные установки" рассказывает, как конфигурировать банкомат на выдачу наличных и устанавливать кассеты для хранения наличных внутри машины.
        Согласно информации Tranax, машины Mini-Bank 1500 могут выдавать максимум 40 банкнот за одну транзакцию, ограничивая возможности преступника на одной машине и с одной картой.
        Однако Голдсмит заметил, что преступник с доступом к машинам с паролем по умолчанию может дать толчок к распространению подобных случаев.
        Также существует вероятность того, что операторские руководства для других моделей банкоматов также просто раздобыть.
        Быстрый поиск в Google данных для нескольких других моделей мини-банкоматов также предоставил пользовательские руководства с паролями по умолчанию, хотя некоторые требуют, чтобы атакующий имел физический доступ к основным установкам машины.
        Данный эпизод подчеркивает, как легко использовать поисковики для получения важной в плане безопасности информации. В прошлом запросы Google использовались для поиска брешей в защите web-приложений, паролей по умолчанию для баз данных Oracle и даже образцов вирусов на форумах и других подобных сайтах.