Lock & Stock – Pazzi scatenati: la violazione DeckMate 2

Immagina di essere stato invitato a una partita di poker privata con atleti famosi. Di chi ti fideresti di più per mischiare le carte: un mazziere o un dispositivo automatizzato specializzato? Fondamentalmente, questa domanda si riduce a ciò in cui si crede di più: l’onestà del croupier o l’affidabilità della macchina. Molti giocatori di poker preferirebbero probabilmente il dispositivo specializzato: è chiaramente più difficile da corrompere o costringere rispetto a un croupier umano. Tuttavia, già nel 2023, i ricercatori di cybersecurity hanno dimostrato che uno dei modelli di dispositivi per mescolare le carte più popolari, il DeckMate 2 prodotto da Light & Wonder, è in realtà abbastanza facile da hackerare.

Due anni dopo, le forze dell’ordine hanno trovato tracce di questi dispositivi truccati non in laboratorio, ma in natura. Questo post descrive in dettaglio come funziona i dispositivo per mescolare le carte DeckMate 2, perché il suo design facilita gli imbrogli, in che modo i criminali hanno utilizzato questa truffa e cosa… c’entra il basket con tutto questo.

Come funziona il dispositivo per mescolare le carte automatico DeckMate 2

Il dispositivo DeckMate 2 è entrato in produzione nel 2012. Da allora è diventato uno dei modelli più famosi, utilizzato in quasi tutti i principali casinò e club di poker privati del mondo. Si tratta essenzialmente di una scatola nera delle dimensioni di un normale tritadocumenti da ufficio e generalmente installata sotto il tavolo da poker.

Il DeckMate 2 è uno strumento professionale per mescolare in modo rapido e automatico il mazzo, verificando contemporaneamente che tutte le 52 carte siano presenti e che non siano state inserite carte extra Fonte

Sulla superficie del tavolo è visibile solo un piccolo scomparto in cui vengono posizionate le carte per mescolarle. La maggior parte dei giocatori ordinari probabilmente non si rende conto che la parte “sommersa” di questo “iceberg” è significativamente più grande e complessa di quanto sembri a prima vista.

Ecco come appare il DeckMate 2 quando viene installato in un tavolo da gioco: tutto il divertimento è nascosto sotto la superficie. Fonte

Dopo che il mazziere ha posizionato il mazzo all’interno del DeckMate 2, la macchinetta fa scorrere le carte una per una attraverso un modulo di lettura. In questa fase, il dispositivo verifica che il contenitore contenga tutte le 52 carte e nient’altro: in caso contrario, lo schermo connesso visualizza un avviso. Successivamente, la macchinetta mescola le carte e restituisce il mazzo al mazziere.

Il DeckMate 2 impiega solo 22 secondi sia per mescolare un mazzo che per controllare le carte. Il controllo delle carte mancanti o extra utilizza una fotocamera interna che esegue la scansione di ogni carta del mazzo e questa fotocamera è coinvolta anche nel mescolamento del mazzo. È difficile immaginare l’utilità pratica di quest’ultima funzionalità nei giochi di carte: si potrebbe presumere che i designer l’abbiano aggiunta solo perché potevano.

Facendo un salto in avanti, questa fotocamera è ciò che ha letteralmente permesso sia ai ricercatori che agli utenti malintenzionati di vedere la sequenza delle carte. Il modello precedente, il Deck Mate, non aveva tale fotocamera e quindi non offriva modo di sbirciare l’ordine delle carte.

Per tenere lontani gli hacker, DeckMate 2 utilizza un controllo hash progettato per confermare che il software non abbia subito alterazioni dopo l’installazione. All’avvio, il dispositivo calcola l’hash del proprio firmware e lo confronta con il riferimento archiviato nella propria memoria. Se i valori corrispondono, la macchina presume che il firmware non sia modificato e procede; in caso contrario, il dispositivo dovrebbe riconoscere un tentativo di manomissione.

Inoltre, il design del DeckMate 2 include una porta USB, utilizzata per il caricamento degli aggiornamenti del firmware. I dispositivi DeckMate 2 possono anche essere noleggiati dal produttore Light & Wonder anziché acquistati a titolo definitivo, spesso con un piano pay-per-use. In questo caso, in genere sono dotati di un modem cellulare che trasmette i dati sull’utilizzo al produttore per la fatturazione.

In che modo i ricercatori sono riusciti a compromettere il DeckMate 2

I lettori di lunga data del nostro blog hanno probabilmente già individuato diversi difetti nel design del DeckMate 2 che i ricercatori hanno sfruttato per il loro proof-of-concept. Lo hanno dimostrato alla conferenza sulla sicurezza informatica di Black Hat nel 2023.

Il primo passaggio dell’attacco ha comportato il collegamento di un piccolo dispositivo alla porta USB. Per il loro POC, i ricercatori hanno utilizzato un microcomputer Raspberry Pi, che è più piccolo del palmo di un adulto. Hanno tuttavia notato che con risorse sufficienti, gli utenti malintenzionati potrebbero eseguire lo stesso attacco utilizzando un modulo ancora più compatto, delle dimensioni di un’unità flash USB standard.

Una volta connesso, il dispositivo ha alterato discretamente il codice del DeckMate 2 e preso il controllo. Questo ha consentito ai ricercatori anche l’accesso alla suddetta telecamera interna destinata alla verifica del mazzo. Potevano quindi visualizzare l’ordine esatto delle carte nel mazzo in tempo reale.

Queste informazioni sono state quindi trasmesse tramite Bluetooth a un telefono nelle vicinanze, dove un’app sperimentale ha visualizzato la sequenza di schede.

L’app sperimentale creata dai ricercatori: riceve l’ordine delle carte via Bluetooth dal DeckMate 2 hackerato.Fonte

L’exploit si basa sul complice del truffatore che detiene il telefono con l’app installata. Questa persona può quindi utilizzare gesti/segnali discreti per il giocatore che truffa.

Ciò che ha consentito ai ricercatori di ottenere questo grado di controllo sul DeckMate 2 è stata una vulnerabilità nelle password hardcoded. Per i loro esperimenti, hanno acquistato diversi mescolatori di seconda mano e uno dei venditori ha fornito loro la password di servizio destinata alla manutenzione di DeckMate 2. I ricercatori hanno estratto le password rimanenti, inclusa la password root, dal firmware del dispositivo.

Queste password di sistema nel DeckMate 2 sono impostate dal produttore ed è molto probabile che siano identiche per tutti i dispositivi. Durante lo studio del codice del firmware, i ricercatori hanno scoperto che le password erano hardcoded nel sistema, il che rendeva difficile modificarle. Di conseguenza, lo stesso set di password, noto a una cerchia di persone abbastanza ampia, protegge probabilmente la maggior parte dei computer in circolazione. Ciò significa che quasi tutti i dispositivi potrebbero essere vulnerabili all’attacco sviluppato dai ricercatori.

Per aggirare il controllo dell’hash, i ricercatori hanno semplicemente sovrascritto l’hash di riferimento archiviato nella memoria. All’avvio, il dispositivo calcolerà l’hash del codice modificato, lo confronterà con il valore di riferimento ora ugualmente modificato e riterrà autentico il firmware.

I ricercatori hanno inoltre notato che i modelli dotati di modem cellulari potrebbero essere potenzialmente manomessi da remoto, tramite una stazione base falsa a cui si connetterebbe il dispositivo anziché un vero ripetitore cellulare. Sebbene non abbiano testato la fattibilità di questo vettore di attacco, non sembra plausibile.

In che modo la mafia ha utilizzato le macchine DeckMate 2 truccate nei giochi di poker veri

Due anni dopo, gli avvertimenti dei ricercatori hanno ricevuto una conferma dal mondo reale. A ottobre 2025, il Dipartimento di giustizia degli Stati Uniti ha incriminato 31 persone per aver organizzato una serie di partite di poker fraudolente. Secondo la documentazione del caso, in queste partite un gruppo criminale ha utilizzato vari mezzi tecnici per ottenere informazioni sulle mani degli avversari.

Questo significa che includeva carte con contrassegni invisibili accoppiate a telefoni, occhiali speciali e lenti a contatto in grado di leggere di nascosto questi segni. Ma soprattutto per il contesto di questo post, i truffatori hanno utilizzato anche macchine DeckMate 2 hackerate configurate per trasmettere segretamente informazioni su quali carte sarebbero finite nella mano di ciascun giocatore.

Ed è qui che arriviamo finalmente alla parte sul basket e sugli atleti NBA. Secondo l’accusa, il piano avrebbe coinvolto membri di diverse famiglie mafiose, nonché ex giocatori dell’NBA.

Secondo l’indagine, i truffatori hanno organizzato una serie di partite di poker high-stake nell’arco di diversi anni in varie città degli Stati Uniti. Le ricche vittime sono state attratte dall’opportunità di giocare allo stesso tavolo delle stelle della NBA (che negano qualsiasi illecito). Gli investigatori stimano che le vittime abbiano perso un totale di oltre 7 milioni di dollari.

I documenti divulgati contengono un resoconto davvero cinematografico di come i truffatori hanno utilizzato i contenitori DeckMate 2 manomessi. Invece di manipolare i dispositivi DeckMate 2 di altre persone tramite una porta USB, come hanno dimostrato i ricercatori, i malviventi hanno utilizzato mescolatori pre-hackerati. Un episodio descrive persino i membri della mafia che rubano un dispositivo compromesso al proprietario minacciando con una pistola.

Nonostante questa… particolare modifica al primo passaggio dell’attacco, l’essenza principale è rimasta sostanzialmente la stessa del POC dei ricercatori. Le macchine DeckMate 2 compromesse hanno trasmesso le informazioni a un operatore remoto, che a sua volta le ha inviate al telefono di un partecipante. I malviventi facevano riferimento a questo operatore come al “quarterback”. Il truffatore avrebbe quindi utilizzato segnali subdoli per dirigere il corso del gioco.

Quali lezioni possiamo trarre da questo racconto

Nei loro commenti ai giornalisti, i produttori di DeckMate 2 hanno dichiarato di aver implementato diverse modifiche sia all’hardware che al software, a seguito della ricerca sull’hackerabilità del dispositivo. Questi miglioramenti includevano la disattivazione della porta USB esposta e l’aggiornamento delle routine di verifica del firmware. I casinò con licenza dovrebbero aver installato questi aggiornamenti. Be’, speriamo solo che lo abbiano fatto davvero.

Tuttavia, lo stato di tali dispositivi utilizzati nei club di poker privati e nei casinò illegali rimane altamente discutibile. Questi luoghi spesso utilizzano macchinette DeckMate 2 di seconda mano senza aggiornamenti o senza un’adeguata manutenzione, il che le rende particolarmente vulnerabili. E questo senza considerare i casi in cui la casa stessa potrebbe avere un motivo per truccare le macchinette.

Nonostante tutti gli intriganti dettagli dell’hacking di DeckMate 2, si basa su precursori abbastanza tipici: password riutilizzate, una porta USB e, naturalmente, sale da gioco senza licenza. A questo proposito, l’unico consiglio per gli appassionati di gioco d’azzardo è quello di stare alla larga dai club di gioco illegali.

Il punto più ampio di questa storia è che le password di sistema preimpostate dovrebbero essere modificate su qualsiasi dispositivo, che si tratti di un router Wi-Fi o di un mescolatore di carte. Per generare una password complessa e univoca e ricordarla, utilizza un [placeholdergestore di password affidabile. A proposito, è inoltre possibile utilizzare Kaspersky Password Manager per generare codici monouso per l’autenticazione a due fattori.