カナダの14歳の少年2人組、モントリオール銀行のATMをハック→銀行に報告 1
タレコミ by danceman
danceman 曰く、
14歳のカナダ人少年の2人組、Matthew Hewlett君とCaleb Turon君は、ランチタイム中に学校を抜け出し、モントリオール銀行のATMのセキュリティー上の脆弱性を指摘したとのこと(Winnipeg Sun、本家/.記事より)。
2人は最初、オンライン上でオペレーター・マニュアルを見つけたのだが、そこにATMをオペレーターモードに切り替える方法が載っていたとのこと。そこで、学校のランチタイム中にモントリオール銀行のATMに行き、システムに入り込めるか試してみたという。「まさか出来るとは思わなかった」ものの、ATMにパスワードをきかれ、適当に打った最初の6桁の数字でシステムに入り込むことが出来てしまったとのこと。
慌ててモントリオール銀行に連絡したものの、銀行側は顧客の暗証番号の一つが盗まれてしまったのだと誤解。そこで2人は、ATMをハック出来てしまったことを銀行側に理解してもらうために証拠を入手することにした。再びATMに戻ってオペレーターモードでシステムに潜入し、ATM内にいくらお金が入っているのか、またその日にATMから引き出されたお金の合計や利用手数料の合計に関するドキュメントをプリントアウトした。また、利用手数料の合計を変えられる方法が分かったので、1セントに変えたとのこと。さらに、一番最初の挨拶画面「BMOのATMにようこそ」を「あっちいけ。このATMはハックされている」に変えたという。
こうした証拠を揃え、よやく銀行側に事の重大さを知らせることができ、最終的には支店マネージャーと直接会って話し、システムの脆弱性について指摘することが出来たとのこと。
ポイントがずれています (スコア:2)
「適当に打った6桁の数字」ではなく、「工場出荷のデフォルトパスワードとしてマニュアルに載っている中から最初にランダムに選んだ(6桁の)パスワード」です。
でたらめに打ったパスワードが偶然当たったという話ではなく、デフォルトパスワードを変更せずそのままにしていたのが今回の最大の問題です。