Em 2010, Barnaby Jack, falecido hacker e pesquisador de segurança, deu nome ao ataque conhecido como “jackpotting”, quando, ao vivo, no palco da conferência Black Hat – para especialistas da área -, foi capaz de fazer caixas eletrônicos (ATMs, na sigla em inglês) cuspirem dólares ilegalmente. Agora, uma década depois, outros pesquisadores descobriram vulnerabilidades que permitem o jackpotting em caixas da Nautilus, uma das empresas líderes no segmento.

Os especialistas em segurança Brenda So e Trey Keown, ambos funcionários da empresa Red Balloon Security, encontraram vulnerabilidades que lhes permitiram enganar um caixa eletrônico popular no varejo, geralmente encontrado em lojas e não em bancos.

Segundo Keown, as vulnerabilidades se encontram no software interno dos caixas eletrônicos da Nautilus, que se trata de uma versão do Windows lançada há dez anos e que, consequentemente, já perdeu o suporte por parte da Microsoft.

Reprodução

ATM da Nautilus desmontado. Imagem: Victor J. Blue/Bloomberg

Para a descoberta, os especialistas compraram uma unidade do caixa eletrônico em questão a fim de examiná-lo. Como a documentação não dizia muita coisa, So e Keown praticaram engenharia reversa no software interno para entender seu funcionamento – e foi assim que ambos encontraram as duas vulnerabilidades disponíveis aos invasores mal intencionados.

A primeira vulnerabilidade foi encontrada em uma camada de software conhecida como XFS (sigla em inglês para Extensões para Serviços Financeiros), que o caixa usa para se comunicar com seus componentes de hardware, como o leitor de cartões e a unidade de distribuição de dinheiro. O problema em si não estava no XFS, mas na forma como a Nautilus implementou a camada de software em seus caixas eletrônicos. Neste caso, o envio de uma solicitação maliciosa projetada para este fim específico pode autorizar a máquina a cuspir dinheiro.

A segunda vulnerabilidade, por sua vez, foi encontrada no software de gerenciamento remoto do caixa. Se trata de uma ferramenta integrada que permite aos proprietários gerenciarem sua frota de caixas eletrônicos para verificar quanto dinheiro resta. A brecha concede ao hacker acesso às configurações da máquina vulnerável. Desta forma, invasores podem trocar o processador de pagamento por um servidor malicioso para desviar dados bancários. “Ao apontar um caixa eletrônico para um servidor malicioso, podemos extrair números de cartão de crédito”, explicou So.

As vulnerabilidades em caixas eletrônicos da Nautilus já haviam sido apontadas ano passado pela Bloomberg, que expôs as brechas imediatamente à empresa – mas só agora especialistas externos tiveram a oportunidade de examiná-las. Na época, só nos Estados Unidos, mais de 80 mil caixas eletrônicos estavam vulneráveis. Contudo, atualmente, é impossível saber qual a situação das máquinas, já que a Nautilus não respondeu ao contato do portal TechCrunch sobre dúvidas acerca do problema. 

Ainda que jackpottings bem-sucedidos sejam raros, esse tipo de ataque não é inédito: em julho deste ano, hackers fizeram caixas eletrônicos cuspirem dinheiro na Europa.